Home

Edmerson Vaz vers Mono Final

Contents

1. limitar o acesso a dispositivos como por exemplo impressoras bem como a outros recursos e servi os como sejam informa o aplica es e sistema e ainda funcionalidades diversas Por sua vez Monteiro e Boavida 2000 afirmam que as fun es de autentica o estabelecem a identidade de utilizadores e ou sistemas tendo em vista a determina o das a es permitidas Eles fazem parte de um processo de dois passos que determina quem pode aceder determinado sistema Durante a identifica o o utilizador diz ao sistema quem ele 39 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA normalmente atrav s de um nome de utilizador e durante a autentica o a identidade verificada atrav s de uma credencial uma senha por exemplo fornecida ao utilizador Este mecanismo permite controlar quais as pessoas autorizadas a entrar em determinado local e registar o dia e hora de acesso controlando e decidindo as permiss es que cada utilizador tem Um sistema de controlo de acesso constitu do por diferentes equipamentos perif ricos de controlo e comando interligados a uma nica unidade de controlo que permite em diferentes pontos v rios acessos ABNT 2005 4 3 2 Redund ncia A redund ncia pode ser obtida de v rias formas quer atrav s de c pias manuais de dados quer atrav s de sistemas automatizados de prote o da informa o Na sua express o mais complexa estes
2. 1 Seguran a Logica 1 1 Controle de Acesso 1 1 1 Requisitos de Mancuna O acesso a rede e conex es restrito controle de acesso A atribui o de direitos de acesso aos utilizadores controlada a partir do registo de utilizador incial 1 1 2 Gest o de acesso do Acesso privilegiado utilizador Efetuam a gest o de senha de utilizadores efetuado a revis o dos direitos de acesso do usu rio e atualiza es de direitos de acesso Os utilizadores s o solicitados a seguir boas pr ticas de SI no uso de 1 13 Responsabilidades do a utilizador Pol tica de mesa limpa e tela limpa N o compartilhar senha de utilizadores individuais Pol tica de uso de servi os de rede A autentica o do usu rio para conex es externas Identifica o do equipamento em redes 1 1 4 Controlo de acesso a rede Diagn stico remoto e configura o de prote o da porta Segrega o de rede Controle de conex o de rede Controle de roteamento de rede Fixar procedimentos log on Identifica o de utilizador e autentica o Controle de acesso ao Sistema de gerenciamento de senhas am sistema operacional Uso de utilit rios de sistema Sess o de time out Limite do tempo de conex o e Controle de acesso de i Restri o de acesso informa o aplicativos informa es Isolamento de sistemas sens veis 1 1 7 Trabalho remoto E e de seguran a est o implementados para o trabalho 1 1 8 Controle criptogr ficos Gest o de chaves 1 3 Gest o de o
3. 4 3 5 Antiv rus Nos dias de hoje com a prolifera o de t cnicas cada vez mais sofisticadas de c digo malicioso e com o aumento significativo de hackers e criminosos digitais espalhando v rus spam e outras amea as da internet torna se uma necessidade de qualquer organiza o que lida com os recursos das TI dispor de mecanismos antiv rus no seu sistema inform tico Segundo Downing 2001 o antiv rus um software que protege computador contra v rus modifica es destrutivas de software impedindo as modifica es que um v rus tente efetuar ou detetando logo que seja poss vel um v rus que se introduza no computador A atualiza o igualmente um aspeto fundamental independentemente das TI que se est a utilizar o sistema antiv rus deve estar configurado para fazer atualiza o autom tica Normalmente os fornecedores de antiv rus disp em de paginas web que permitem fazer a atualiza o dos mesmos Para Silva Carvalho e Torres 2003 existem solu es centralizadas para realizar automaticamente e permanentemente a atualiza o e a dissemina o dessas mesmas atualiza es por todos os sistemas que se pretende proteger a partir de um ponto nico No entanto Mamede 2006 acrescenta ainda que o sistema antiv rus dever estar instalado em cada servidor e em cada computador pessoal da organiza o Nesse sentido extremamente importante certificar se de que este programa atualizado pelo
4. gt Definir o n vel de privacidade garantindo aos utilizadores gt Identificar os contactos para esclarecimento de quest es duvidosos gt Definir o tratamento das situa es de omiss o Um dos maiores problemas de seguran a nas organiza es a falta de consci ncia por parte dos agentes da organiza o das amea as que o sistema e redes est o sujeitos A pol tica de seguran a dever alertar em termos plaus veis e objetivas os utilizadores para as quest es de seguran a Monteiro e Boavida 2000 De uma forma geral o sucesso da Pol tica de Seguran a da Informa o adotada por uma organiza o depende da combina o de diversos elementos dentre eles a estrutura organizacional da empresa as normas e os procedimentos relacionados seguran a da informa o e maneira pela qual s o implantados e verificados os sistemas tecnol gicos utilizados os mecanismos de controlo desenvolvidos assim como o comportamento de diretores funcion rios e colaboradores Segundo Ferreira e Alves 1995 para a formula o da pol tica de seguran a dever ser seguido o modelo a seguir discriminado na figura 8 Figura 8 Modelo de formula o da pol tica de seguran a adaptado Ferreira e Alves 1995 66 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA A aplica o das medidas de pol ticas de seguran a revelar se tanto mais eficaz quanto duas atividades que precedem a sua form
5. o Estudo de Caso INPHARMA Estas podem e devem ser equacionadas sempre que a organiza o considere haver lugar a retribui o pelos danos causados por um atacante quer este seja um mi do com tempo a mais nas m os quer se trate de um concorrente comercial E portanto essencial estabelecer normas e procedimentos claros e espec ficos que definem as linhas condutoras da organiza o N o sendo poss vel prever todo o tipo de ataques que possam ocorrer nem todas as formas de que estes se podem revestir fundamental que a organiza o saiba o que fazer A decis o deve ser tomada caso a caso auxiliada por um procedimento e fundamentada na realidade da ocorr ncia sempre bem enquadrada nas linhas mestras da seguran a empresarial ou seja no Plano de Seguran a da Empresa Segundo Silva Carvalho e Torres 2003 no caso da seguran a f sica a resposta a ataques encontra se perfeitamente definida no caso de um assalto todos conhecemos bem os procedimentos a seguir em resposta a esse acontecimento Qualquer organiza o que possui os seus recursos inform ticos em rede est exposta a ataques Nesse sentido importante definir as a es a serem levados a cabo em caso de ocorr ncia de ataques 4 4 Testes e Auditorias Atualmente assiste se a uma oferta crescente de servi os de teste e de auditoria de seguran a cujo objetivo o de avaliar o grau de prote o dos sistemas inform ticos das organiza
6. o Estudo de Caso INPHARMA Juntamente com a difus o da Internet outros fatores contribu ram para impulsionar o crescimento dos incidentes de seguran a Um desses fatores o aumento do n mero de vulnerabilidades nos sistemas existentes como por exemplo as brechas de seguran a nos sistemas operacionais utilizados em servidores e postos de trabalho Outro fator o qu o trabalhoso e custoso pode se tornar o processo de mitigar tais vulnerabilidades com a aplica o de corre es do sistema realizadas muitas vezes de forma manual e individual de m quina em m quina Por ltimo a complexidade e a sofistica o dos ataques tamb m contribu ram de maneira direta para o aumento dos incidentes 2 E a conjun o dessas condi es que culmina por exemplo na parada generalizada de sistemas e redes corporativas ao redor do mundo causada pela atua o de worms que se propagam pela Internet em quest o de minutos A tend ncia que as amea as seguran a continuem a crescer n o apenas em ocorr ncia mas tamb m em velocidade complexidade e alcance tornando o processo de preven o e de mitiga o de incidentes cada vez mais dif cil e sofisticado N o s o apenas as amea as externas que representam riscos a uma corpora o Os pr prios funcion rios representam alto risco quando mal intencionados ou mesmo quando n o conscientes dos riscos envolvidos na manipula o da informa o A norma ISO IEC 27002 200
7. o e forma o sobre utiliza o correta do SI de modo a n o por em causa a seguran a do mesmo E devem informar das consequ ncias do n o cumprimento das pol ticas Manterem se ativos acessos e privil gios de utilizadores colaboradores ou prestadores de servi os mesmo ap s a cessa o de contratos ou fun es Perda da Informa o Altera o da Informa o Ap s o t rmino do contrato presta o de servi os ou altera es de fun es devem ser retirados ou revistos os acessos e privil gios sobre os sistemas Tabela 6 Seguran a de Recursos Humanos 89 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Relativamente a Seguran a dos Recursos Humanos constata se que a Inpharma aplica diversas medidas de Seguran a como a inclus o em contratos dos termos e condi es de emprego e de outros acordos assinados sobre os pap is e responsabilidade de seguran a a aplica o de um processo disciplinar para lidar com viola es de seguran a de informa o a obriga o de retornar os ativos ap s a cessa o das fun es etc Entretanto a an lise da tabela 6 revela que nem sempre efetuado uma an lise dos curr culos e do perfil e adequa o do candidato a fun o a desempenhar Ser necess rio refor ar o papel dos gestores na motiva o dos colaboradores e prestadores de servi os na tem tica da seguran a nomeadamente com esclarecimen
8. Estudo de Caso INPHARMA 14 Gest o de continuidade do Neg cio N o permite a interrup o das atividades do neg cio e protege os processos cr ticos contra efeitos de falhas ou desastres significativos assegura a sua retomada em tempo h bil se for o caso 15 Conformidade Evita viola es de quaisquer obriga es legais estatut rias regulamentares ou contratuais e de quaisquer requisitos de seguran a da informa o Com isso pode se aplicar a ISO 27002 sem precisar da ABNT NBR ISO IEC 27001 2006 Tecnologia da Informa o T cnicas de Seguran a Sistemas de Gest o de Seguran a da Informa o Requisitos mas para se obter a certifica o ISO 27001 necess rio ter implantado anteriormente todos os controles recomendados pela ABNT NBR ISO IEC 27002 2005 conforme figura 9 Politica de Seguran a 1 Estrutura Organizacional 2 t em Figura 9 ABNT NBR ISO IEC 27002 2005 Estrutura Pompeu Gledson 2010 1 6 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Procedimentos De acordo com Rosa 2004 procedimentos o documento que descreve as opera es de forma muito detalhada indicando todos os seus passos Os procedimentos dever o estar em conformidade com as normas de seguran a Segundo o procedimento de logging num sistema inform tico deve ser concebido tendo em vista minimizar a oportunidade de acessos n o autorizados devendo por isso
9. Estudo de Caso INPHARMA 3 1 Sistema de Gest o de Risco A norma NBR ISO IEC 27005 ABNT 2008 prop e um modelo de Sistema de Gest o de Riscos da Seguran a da Informa o SGRSI que pode ser aplicado a qualquer tipo de organiza o As etapas formam um ciclo que visa a melhoria cont nua do SGRSI conforme demonstra a figura 2 Aprecia o Satisfat ria sim Tratamento do Risco Risco od aceit vel sim Aceita o do Risco Figura 2 Etapas do Sistema de Gest o de Riscos da Seguran a da Informa o Fonte ABNT 2008 As etapas do gerenciamento de riscos mostradas na figura 2 s o tratadas abaixo de acordo com a NBR ISO IEC 27005 ABNT 2008 23 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA gt Defini o do Contexto Nesta etapa do modelo realizado o levantamento do contexto em que a organiza o est inserida fatores internos e externos que podem afetar a pol tica a ser adotada As vari veis levantadas nesta etapa possibilitam a defini o de requisitos e estrat gias a serem adotados para o restante do processo tamb m nesta etapa que se define o n vel aceit vel de riscos dentro da organiza o quais ativos ser o considerados e como operar a gest o de riscos no rg o gt Aprecia o dos Riscos Ap s a defini o do contexto organizacional e da identifica o dos crit rios a serem adotados na Gest o de Riscos a etapa de aprecia o de risc
10. a base para a prote o de qualquer investimento feito por uma organiza o Investir em diferentes aspetos da seguran a sem observar suas devidas prioridades pode ocasionar uma perda de todos os recursos investidos em virtude de uma falha nos sistemas mais vulner veis Ferreira e Ara jo 2006 29 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Conv m que sejam utilizados per metros de seguran a barreiras tais como paredes port es de entrada controlados por cart o ou balc es de rece o com rececionistas para proteger as reas que contenham informa es e instala es de processamento da informa o ABNT 2005 Segundo Carneiro 2002 o principal objetivo da seguran a f sica garantir a prote o dos SI quanto s suas dimens es f sicas e no que se refere a todos os seus componentes nomeadamente hardware software documenta o e meios magn ticos Esta prote o relaciona se com os riscos por perdas extravios ou por danos f sicos Interessa considerar a seguran a f sica do SI tal como se apresenta na tabela seguinte Seguran a Fica Objetivos Do pessoal Pp Reduzir os riscos devidos aos erros humanos fraudes roubos e a m utiliza o dos recursos existentes Do egripamenta Proteger o hardware computacional outros equipamentos as suas interliga es e o fornecimento de energia Pasansiala es Requisitos da localiza o e estrutura dos
11. considerado uma emerg ncia Este passar a desastre a partir da declara o de desastre altura em que a organiza o assume inequivocamente a necessidade de ativa o de medidas excecionais conducentes recupera o dos processos e atividades afetados pelo incidente 14 Seguran a de Sistema de Informa o 57 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Em caso de desastre segundo o mesmo autor o principal objetivo do neg cio ser ent o o de retomar todas as suas atividades cr ticas o mais rapidamente poss vel o que acontecer no per odo de recupera o S no final deste per odo ser o retomadas as restantes atividades n o cr ticas entrando a Empresa assim na fase de regresso normalidade Para Silva Carvalho e Torres 2003 como a probabilidade de ocorr ncia de desastres algo real torna se necess rio a defini o de um plano de recupera o ou continuidade de neg cio que visa garantir a recupera o das funcionalidades cr ticas da empresa de forma suficientemente r pida de modo a garantir o n o comprometimento da viabilidade institucional Portanto esse planeamento visa identificar as atividades a serem realizadas em caso de desastres os respons veis pela sua excuss o os meus necess rios e o modo de realiza o dessas atividades Esse projeto implementado em 5 fases 1 Arranque 2 Redu o de riscos e avalia o do impacto 3 Desenvolvimento do pl
12. a 1 2 Durante o Emprego T Os gestores garantem que os funcion rios e prestadores de servi os Responsabilidade de SeS 8 a p SO SOIIS 1 2 1 Gest o est o cientes e motivados para cumprir com as suas obriga es de Seguran a de Informa o Consciencializa o de 1 2 2 Seguran a da E efetuado campanhas de sensibiliza o e forma o em Seguran a do informa o educa o Sistema de Informa o e forma o Existe um processo disciplinar para lidar com viola es de seguran a 1 2 3 Processo disciplinar E de informa o 1 3 Rescis o e Mudan a do Emprego 1341 Responsabilidade de Obriga es em curso sob as leis de privacidade termos contratuais de Termina o obrigando se a manter o sigilo ap s eventual cessa o de fun es Se h retorno de informa es e equipamentos da empresa na posse da 1 3 2 Retorno dos ativos S ia p p pessoa ap s a cessa o das fun es Elimina o de direitos de acesso Atualizam os direitos de acesso ap s eventual cessa o de fun es Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA III Checklist proposto para verifica o da Seguran a Logica baseado na norma ABNT NBR ISO IEC 27002 CHECKLIST PROPOSTO PARA VERIFICA O DA SEGURAN A LOGICA BASEADO NA NORMA ABNT NBR ISSO IEC 27002
13. a da informa o para as quatro fases do processo do SGSI Processo de gest o de riscos de seguran a Processo do SGSI A a da informa o Plan Planear Defini o do contexto An lise avalia o de riscos Plano de tratamento do risco Aceita o do risco Do Executar Implementa o do plano de tratamento do risco Check Verificar Monitoramento cont nuo e an lise cr tica de riscos Act Agir Manter e melhorar o processo de Gest o de Riscos de Seguran a da Informa o Tabela 2 Alinhamento do processo do SGSI e do processo de gest o de riscos de seguran a da informa o adaptado ISO IEC 27005 2008 Em um SGSI a defini o do contexto a an lise avalia o de riscos o desenvolvimento do plano de tratamento do risco e a aceita o do risco fazem parte da fase planear Na fase executar do SGSI as a es e controlos necess rios para reduzir os riscos para um n vel aceit vel s o implementados de acordo com o plano de tratamento do risco Na fase verificar do SGSI os gestores determinar o a necessidade de revis o das avalia es e tratamento do risco luz dos incidentes e mudan as nas circunst ncias Na fase agir as a es necess rias s o executadas incluindo a reaplica o do processo de gest o de riscos de seguran a da informa o ABNT 2008 28 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA 4 re
14. a dos Sistema de Informa o Estudo de Caso INPHARMA Vulnerabilidade Impacto Solu o Informa o n o protegida Divulga o n o autorizada de informa o confidencial modifica o ou elimina o de informa o n o autorizada Implementar uma pol tica de mesa limpa e prote o de informa o confidencial e bloqueio autom tico de ecr ap s um per odo de inatividade Possibilidade da n o recupera o das informa es no per odo pretendido Perda da Informa o Dever ser Implementado uma pol tica de seguran a a n vel de c pias de seguran a recupera o a desastre e continuidade de neg cio da Inpharma onde a camada de gest o dever estabelecer o n vel de criticidade e salvaguarda de dados para cada ativo mbito abrang ncia de dados e tempo de reten o Dever estabelecer medidas alternativas de recupera o a desastre e continuidade de neg cio para os ativos de maior criticidade para o neg cio da Inpharma Tabela 7 Seguran a Logica 91 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Pelos resultados apresentados na tabela do ap ndice III constata se que a Inpharma aplica a maioria das medidas de seguran a l gica nos Sistemas de Informa o como utiliza o de sistemas de firewall filtragem de conte do realiza o de c pias de seguran a regulares utiliza o de controlos contra c digos mal
15. a periodicidade das c pias pode ser di ria semanal mensal anual ou de periodicidade vari vel gt N mero de exemplares das c pias de seguran a gt Localiza o de arquivos de suporte de suporte magn tico a localiza o do armazenamento das c pias de seguran a deve ser feita tendo em conta n o s a seguran a mas tamb m a disponibilidade sempre que haja condi es essas c pias devem ser guardadas em lugar distinto dos dados originais gt Procedimentos de reposi o Conforme Rosa 2004 existem igualmente outros documentos de seguran a que contribuem para dar consist ncia e exequibilidade s medidas implementadas gt Pol tica de seguran a gt Normas de Seguran a gt Procedimentos 1 4 Pol tica de Seguran a A pol tica de seguran a pode trazer ao ambiente de uma institui o regras e procedimentos que devem ser seguidos para a garantia da seguran a da informa o importante que as informa es da pol tica de seguran a sejam divulgadas para todos os membros da institui o funcion rios colaboradores ou estagi rios e que todos estejam conscientes da import ncia do seguimento desta pol tica Spancesci 2004 64 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Para Rosa 2004 pol tica de seguran a um conjunto reduzido de regras que definem em P4 linhas gerais o que considerado pela empresa como aceit vel ou inaceit vel contendo
16. es Independentemente da import ncia destas an lises e da pertin ncia dos seus resultados o respons vel pela seguran a inform tica dever escolher cuidadosamente a altura adequada para a sua realiza o dependendo dos objetivos que pretenda atingir Conforme Silva Carvalho e Torres 2003 analisaremos algumas possibilidades 55 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA gt Aquando da nomea o do respons vel pela seguran a a Empresa contrata ou nomeia algu m para desempenhar as fun es de respons vel pela seguran a Uma das primeiras tarefas desse elemento poder ser a de realizar uma an lise de risco ou contratar a terceiros uma auditoria de seguran a de modo a obter uma imagem atual do panorama de seguran a da organiza o Os resultados desta auditoria servir o de ponto de partida para a elabora o de solu es e para a corre o das insufici ncias detetadas gt Ap s a implementa o de medidas de seguran a Partindo do princ pio de que o respons vel pela seguran a tem um conhecimento mais ou menos aprofundado da situa o da Empresa em termos de seguran a l gica este poder tomar medidas preventivas e ou corretivas no mbito do Plano Global de Seguran a Neste caso os testes ou auditorias de seguran a t m como objetivo avaliar a efic cia das medidas introduzidas e validar as decis es tomadas gt Com regularidade temporal Em paralelo ao desenvolvime
17. es e a autoria das transa es ANAC 2014 Esse documento eletr nico gerado e assinado por uma terceira parte confi vel ou seja uma Entidade Certificadora que no caso de Cabo Verde assegurada pela Ag ncia Nacional das Comunica es ANAC que seguindo regras estabelecidas pelo Conselho Gestor da ICP CV associa uma entidade pessoa processo servidor a um par de chaves criptogr ficas A assinatura digital cont m os dados de seu titular conforme detalhado na pol tica de certificados de cada entidade certificadora fazendo com que o documento assinado digitalmente seja equivalente ao papel assinado de pr prio punho O certificado digital para al m de personificar o cidad o na internet garante a validade jur dica aos atos praticados com o seu uso 7 Fonte http www anac cv index php option com content amp view article amp id 143 3 Anoticia de teste amp catid 35 3 Anoticias banner amp lang pt Consultado a 17 de Junho de 2014 45 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Trata se de uma ferramenta que permite que aplica es como com rcio eletr nico assinatura de contratos opera es banc rias iniciativas de governo eletr nico entre outras sejam realizadas com seguran a ANAC 2014 S o transa es feitas de forma virtual ou seja sem a presen a f sica do interessado mas que demanda identifica o clara da pessoa que a est realizando pela internet
18. etc e planos de testes e exerc cios bem como de contactos para comunica o com outras equipas e centros de coordena o Silva Carvalho e Torres 2003 Para al m dos elementos 61 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA referidos o plano de conting ncia dever incluir um plano de a o composto por um diagrama de execu o ver Fig 7 sistema funcional Alertar coordenador de recupera o o 5 Resgate de dados o o avalia o de danos o Figura 7 Diagrama de execu o Fonte Manual T cnico de Seguran a dos Sistemas e Tecnologias de informa o O plano de conting ncia dever incluir tamb m uma matriz de responsabilidades que permita identificar os procedimentos a executar quem os executa e quando 1 2 Plano de Recupera o Para Silva Carvalho e Torres 2003 o plano de recupera o um documento composto pelas descri es das respostas a uma interrup o nas atividades processos e fun es importantes do neg cio que se prolongue para al m das respetivas toler ncias indisponibilidade 62 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA O plano de recupera o dever incluir a estrutura e constitui o das equipas que dever o executar o plano de a o e todas as informa es auxiliares que facilitem a implementa o dos procedimentos por exemplo contratos e listas de conta
19. o de intrus o em dois 13 grandes grupos a seguir descritos gt Sistemas de Dete o de Intrus o baseados em Host HIDS De acordo Santos 2010 o sistemas de Dete o de Intrus o baseados em Host monitora e analisa informa es coletadas de um nico Host M quina N o observa o tr fego que passa pela rede seu uso volta se a verifica o de informa es relativas aos eventos e registros de logs e sistema de arquivos permiss o altera o etc S o instalados em servidores para alertar e identificar ataques e tentativas de acesso indevido pr pria m quina sendo mais empregados nos casos em que a seguran a est focada em informa es contidas em um servidor e os utilizadores n o precisam ser monitorados Tamb m aplicada em redes onde a velocidade de transmiss o muito alta como em redes Gigabit Ethernet ou quando n o se confia na seguran a corporativa da rede em que o servidor est instalado gt Sistemas de Dete o de Intrus o baseados em Rede NIDS O Sistemas de Dete o de Intrus o baseados em Rede monitora e analisa todo o tr fego no segmento da rede Consiste em um conjunto de sensores que trabalha detetando atividades Dispon vel em http www seginfo com br sistemas de deteccao de intrusoes ids intrusion detection systems usando unicamente softwares open source Consultado a 23de Maio de 2014 52 Seguran a dos Sistema de Informa o Estudo de Caso INPHAR
20. o procedimento de logon revelar o m nimo de informa es acerca do sistema com o objetivo de evitar fornecer ajudas desnecess rias a um utilizador n o autorizado Ainda de acordo com o mesmo autor um bom procedimento de logon dever cobrir os seguintes aspetos l N o visualizar identificadores da aplica o ou do sistema at que o procedimento de logon tenha sido conclu do com sucesso Visualizar um aviso alertando que o sistema apenas pode ser acedido por utilizadores autorizados N o fornecer mensagens de ajuda durante o procedimento de logon que possam orientar um utilizador n o autorizado Desligar e n o fornecer nenhuma informa o ap s uma tentativa de logon mal sucedida Validar a informa o de logon apenas ap s a conclus o de todos os dados de entrada Se surgir uma condi o de erro o sistema n o deve indicar qual o elemento dos dados que est correto ou incorreto Limitar o n mero de tentativas mal sucedidas permitidas antes de ser tomada qualquer a o tr s tentativas o numero recomendado 70 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Cap tulo 3 O Caso INPHARMA 1 Enquadramento A parte pr tica visa complementar o tema sobre a Seguran a do Sistema de Informa o e consiste num estudo de an lise da Seguran a dos Sistemas de Informa o da Inpharma tendo em considera o as reas de seguran a de informa o baseada nas melh
21. Humanos A Seguran a dos Recursos Humanos tem como objetivo assegurar que os funcion rios fornecedores e terceiros entendam as suas responsabilidades para reduzir o risco de erro humano furto ou roubo fraude ou mau uso dos recursos Apoiar a pol tica de seguran a da informa o na organiza o durante os seus trabalhos quotidianos ABNT 2005 A tabela seguinte demonstra o resultado da an lise de risco efetuado tendo em considera o a checklist proposta para verifica o da Seguran a dos Recursos Humanos baseado na norma ABNT NBR ISO IEC 27002 como demonstra o ap ndice II Vulnerabilidade Impacto Solu o 88 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Possibilidade de contratar Incidentes de Seguran a Deve ser efetuado pelo RH pessoas inadequadas a como por exemplo Roubo de uma an lise cuidadosa dos fun o equipamentos Provoca o curr culos do perfil e de danos Conflitos personalidade e ainda antecedentes criminais Incidentes de seguran a Roubo de Informa o Os gestores devem garantir como colaboradores ou Deteriora o de informa o que os funcion rios e prestadores de servi os por m conduta neglig ncia ou falta de informa o ou Perda de Informa o prestadores de servi os est o cientes e motivados para cumprir com as suas obriga es de Seguran a de Informa o criando politicas de sensibiliza
22. Presidente da Rep blica de Cabo Verde Acredita o do Laborat rio de Controlo de Qualidade segundo o Referencial Normativo NP EN ISO IEC 17025 de 2005 Divis o da Empresa em tr s Unidades Estrat gicas conceptuais Unidade Fabril Unidade N o Fabril e InLab Laborat rio de Controlo de Qualidade Certifica o da Unidade N o Fabril segundo o Referencial Normativo ISO 9001 de 2008 APCER Integra o do Laborat rio de Controlo de Qualidade no conjunto dos Laborat rios de Controlo de Qualidade aceites pela Global Fund Exporta o para os mercados da Guin Bissau e S Tom e Pr ncipe Integra o do Laborat rio de Controlo de Qualidade no grupo dos Laborat rios pr seleccionados para realizar servi os na rea de avalia o de conformidades de produtos na regi o da CDEAO Constitui o da Empresa Farmac utica de S o Tom e Pr ncipe Empharma STP SA em parceria com o Governo da Rep blica Democr tica de S o Tom e Principe Exporta o para os mercados da Angola Figura 11 Historial INPHARMA Fonte INPHARMA 2014 I5 Fonte http teste inpharma cv index php mod module amp page 2 amp mod id 2 consultado a 9 de Junho de 2014 73 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA 3 Miss o Vis o e Valores 3 1 Miss o A Inpharma orienta a sua miss o em produzir medicamentos ao mais baixo custo com qualidade efic cia e seguran a contribuindo assim para qualidade da
23. a do pessoal de modo ao uso seguro das tecnologias de informa o e comunica o como tamb m devem receber forma o na correta utiliza o dos recursos das TI antes de lhes ser assegurado o acesso aos servi os das TI Ainda no mbito da seguran a do pessoal Silva Carvalho e Torres 2003 defendem que deve se evitar a atribui o a uma nica pessoa de fun es vitais para a organiza o distribuindo preferencialmente para dois ou mais colaboradores Segundo a ABNT 2005 todos os funcion rios da organiza o devem receber treinamento apropriado em conscientiza o e atualiza es regulares nas pol ticas e procedimentos organizacionais relevantes para as suas fun es Deve existir um processo disciplinar formal para os funcion rios que tenham cometido uma viola o da seguran a da informa o 4 3 Seguran a Logica Esta a rea mais abrangente requerendo consequentemente um estudo muito mais apurado e detalhado visto que indubitavelmente a rea mais rica mais complexa e mais dif cil de gerir no que diz respeito seguran a dos sistemas de informa o Isso deve se essencialmente ao ritmo acelerado da evolu o tecnol gica acompanhado pelo aumento da sua complexidade 38 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA A seguran a l gica baseia se sobretudo na gest o das autoriza es de acesso aos recursos inform ticos baseadas na identifica o e autentic
24. autorizar e validar todos os acessos deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria gt Seja exigido que todos os funcion rios fornecedores e terceiros e todos os visitantes tenham alguma forma vis vel de identifica o e eles devem avisar imediatamente o pessoal de seguran a caso encontrem visitantes n o acompanhados ou qualquer pessoa que n o esteja usando uma identifica o vis vel gt Aos terceiros que realizam servi os de suporte seja concedido acesso restrito s reas seguras ou s instala es de processamento da informa o sens vel somente quando necess rio este acesso deve ser autorizado e monitorado 31 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA gt Os direitos de acesso a reas seguras sejam revistos e atualizados em intervalos regulares e revogados quando necess rio De acordo com Carneiro 2002 a seguran a f sica inclui pelo menos os seguintes componentes gt Controlos de acesso gt Servi os contra inc ndios gt Fornecimento de energia gt Sistema de ar condicionado gt Dispositivo para dete o de fugas infiltra es de gua gt Pessoal de Seguran a gt Telecomunica es Nesse sentido para evitar tais amea as e garantir a seguran a f sica devem ser considerados v rios aspetos entre os quais seguran a do equipamento a localiza o geogr fica das instala es controlos de acesso
25. cio e tamb m quest es legais do pa s onde o mesmo ser executado al m de quest es de infraestrutura tecnol gica que mant m grande parte das tarefas automatizadas funcionando Em empresas onde n o h necessidades constantes de recupera o de informa o em back ups necess rio a execu o de testes de recupera o Estes devem ser feitos com certa frequ ncia a fim de manter sempre um bom ndice de recupera o das informa es Outro fator muito importante a ser considerado segundo o mesmo autor idem no processo de salvaguarda de informa es o armazenamento das fitas magn ticas ou de qualquer outro meio onde esteja sendo realizado a c pia de seguran a De nada adianta salvar informa es em um dispositivo diferente do original se manteve se o dispositivo junto ao original Em caso de desastres as vezes naturais a perda da informa o ser total inclu do os dispositivos de armazenamento de back ups deveras importante realizar o transporte seguro destes dispositivos para locais onde haja certa dist ncia do ponto de origem al m de seguran a quanto ao pr prio armazenamento em so Silva Carvalho e Torres 2003 afirma que os esquemas de backup mais comuns enquadram se na cl ssica defini o de tr s ciclos Av Pai e Filho O que diferencia estas tr s gera es de backup precisamente a dura o do seu prazo de reten o e eventualmente o seu local de armazenamento 4 Disp
26. do mercado orientado pela norma A escolha do tema tamb m surgiu do interesse em confrontar a teoria existente com a realidade observada no contexto da Seguran a de Sistema de Informa o da Inpharma Objetivo Geral Analisar a seguran a do Sistema de Informa o da Inpharma baseada nas melhores pr ticas do mercado orientado pela norma ISO EC27002 2005 Objetivos Espec ficos Para facilitar a compreens o do objetivo geral entendeu se decomp los nos seguintes objetivos espec ficos Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA gt Compreender as no es b sicas de Seguran a dos Sistemas de Informa o e os diferentes aspetos relacionados com as mesmas gt Analisar as principais vulnerabilidades de Seguran a Sistema de Informa o da Inpharma baseada nas melhores pr ticas do mercado orientado pela norma ISO 1EC27002 2005 gt Propor a es para minimizar as vulnerabilidades encontradas no contexto do plano de Seguran a do Sistema de Informa o Metodologia Em rela o metodologia adotada o trabalho foi elaborado com base em pesquisas bibliogr ficas nomeadamente consultas de livros trabalhos cient ficos j divulgados e pesquisas em sites acad micos Atrav s da aplica o deste trabalho foi poss vel a entrevista com o Administrador de Sistema de Informa o da Inpharma como tamb m com a Respons vel pelo Gabinete de Administra o e de Recursos Hum
27. edif cios destinados aos centros de inform tica de forma a garantir um n vel de seguran a adequado Tabela 3 Seguran a F sica adaptado de Carneiro 2002 30 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Qualquer acesso s depend ncias da organiza o desde reas de trabalho at quelas consideradas cr ticas onde ocorre o processamento de informa es cr ticas e confidenciais deve ser controlado sempre fazendo necess ria sua formaliza o Ferreira e Ara jo 2006 Segundo a ABNT 2005 conv m que as reas seguras sejam protegidas por controlos apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso De acordo com a mesma norma as seguintes diretrizes para implementa o devem ser levadas em considera o gt A datae hora da entrada e sa da de visitantes sejam registradas e todos os visitantes sejam supervisionados a n o ser que o seu acesso tenha sido previamente aprovado conv m que as permiss es de acesso sejam concedidas somente para finalidades espec ficas e autorizadas e sejam emitidas com instru es sobre os requisitos de seguran a da rea e os procedimentos de emerg ncia gt Acesso s reas em que s o processadas ou armazenadas informa es sens veis seja controlado e restrito s pessoas autorizadas conv m que sejam utilizados controlos de autentica o por exemplo cart o de controlo de acesso mais PIN para
28. execu o e indica o dos eventos que despoletam os procedimentos Ferreira e Alves 1995 A elabora o de um plano de conting ncia deve estar associada a ideia de que n o pr tico nem realista em termos de custo efic cia proteger a Organiza o E deve ser elaborado ap s uma an lise de risco de modo a assegurar um funcionamento aceit vel em termos de custo efici ncia Segundo Sim es 2004 em situa es externas pode se recorrer a utiliza o de instala es de reserva cold centres instala es alternativas sem equipamento dispon vel worm centres ou hot centres instala es alternativas com equipamento dispon vel deve ser considerada no plano de conting ncia para o caso de acidentes graves ou cat strofes Para Silva Carvalho e Torres 2003 nestes planos deve ser inclu dos procedimentos para todas as a es de emerg ncia incluindo gt Evacua o gt Primeiros socorros gt Redu o de danos por exemplo extin o de fogo gt Conten o do incidente por exemplo desativa o de sistemas v Avalia o de danos gt Escalada e ativa o do plano de gest o de crise O plano de conting ncia deve descrever as equipas respons veis pela execu o de cada um destes procedimentos indicando para cada equipa a sua designa o oficial constitui o estrutura hier rquica a lista dos meios de que disp e diagramas contactos procedimentos
29. internos externos e VPN na rede de INPHARMA 6 SRVDOC o servidor que faz o gerenciamento da plataforma de gest o documental do laborat rio como tamb m serve da plataforma aplicacional do Laborat rio Digital 6 Arquitetura de Rede O objetivo deste ponto perceber como caracterizado a arquitetura de rede Inpharma Segundo o administrador de sistema de informa o a arquitetura de rede da Inpharma representada no diagrama da figura 14 caracterizada por tr s segmentos de rede segregados e geridos atrav s dum sistema de controlo de acessos firewall A segrega o da rede realizada de forma a agrupar reas semelhantes e separar sistemas distintos sendo para isso usados crit rios que t m em conta os n veis de seguran a e as reas funcionais Assim sendo a arquitetura de rede constitu da pelos seguintes segmentos rede interna corporativa rede visitas rede p blica Internet 19 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA B a a Ni pharma ARQUITECTURA DE REDE a helpdesk OUTUBRO 2006 p Acessos e Redes trusted helpdesk Utilizador Remoto VISIONSEC EN Co ms HPMLLO RD reais arnsert AU mm k o X T X X Rede de Servidores Corporativos Li PR Rede Corporativa de Postos de Trabalho LAN f 1 i 1 1 1 i DES TIIRA Ae DS p HP ep Asus HP MLLLO HP DL380 qts CABO VERDE copyright VisionWare Fig
30. o devem ser retirados ap s o encerramento de suas atividades contratos ou acordos ou devem ser ajustados ap s a mudan a destas atividades ABNT 2005 4 2 2 Sensibiliza o e Forma o De acordo com Silva Carvalho e Torres 2003 uma das formas de ajudar os utilizadores a adotar a seguran a a sensibiliza o que pode ser feita tanto por campanhas de divulga o como atrav s de sess es de esclarecimentos e forma o mostrando lhes as raz es do que lhes solicitado e a forma segura de realizar as suas atividades quotidianas como por exemplo atrav s da aplica o da pol tica de secretaria limpa e da destrui o sistem tica em equipamento adequado dos documentos sens veis em vez de os deitar no lixo Como afirma Mamede 2006 a forma o em seguran a deve ser disponibilizada a todos os colaboradores que concebam implementem ou efetuem a manuten o de sistemas de 37 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA rede bem como a todos os colaboradores da organiza o sensibilizando os para os variados problemas O objetivo da forma o segundo Ferreira e Alves 1995 garantir que os utilizadores t m consci ncia das amea as e preocupa es respeitantes seguran a da informa o e est o sensibilizados para apoiar a pol tica de seguran a da organiza o Em suma isto quer dizer que a forma o constitui pr tica importante na seguran
31. refer ncia s medidas a impor aos infratores Na perspetiva de Carneiro 2002 as pol ticas de seguran a incluem documentos que descrevem principalmente a forma adequada de utiliza o dos recursos do SI as responsabilidades e direitos tanto dos intervenientes utilizadores administradores apresentam o que devem ser protegidos e descrevem os procedimentos a manter e desenvolver tudo com o objetivo de garantir a seguran a do SI Segundo Sousa 2006 o desenvolvimento de uma pol tica de seguran a a base de seguran a de informa o em uma empresa Alguns padr es e normas internacionais de seguran a foram desenvolvidos por organiza es normalizadoras como ISO Internacional Standards Organization e a BS British Standard como ISO 17799 e a BS 7799 No entender de Monteiro e Boavida 2000 podem resumir se as principais regras para a defini o de uma boa pol tica de seguran a gt Ser facilmente acess vel a todos membros de organiza o gt Definir os objetivos de seguran a gt Definir objetivamente todos os aspetos abortados gt Definir a posi o da organiza o em cada quest o gt Justificar as op es tomadas gt Definir as circunst ncias em que aplicada cada uma das regras gt Definir os pap is dos diversos agentes da organiza o gt Especificar as consequ ncias do n o cumprimento das regras definidas 65 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA
32. tica de utiliza o instala es da organiza o informa o dos equipamentos fora das instala es da organiza o que carece de autoriza o superior coordena o com 86 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA os respons veis pela gest o dos sistemas de informa o e salvaguarda da informa o em causa A prote o da contida informa o nos equipamentos pode ser refor ada com controlos de acesso ao equipamento password BIOS e encripta o de discos Possibilidade de intrus o na sala de servidores atrav s Perdas danos roubo comprometimento de ativos e Acesso controlado a sala dos servidores exemplo por das falhas dos controlos interrup o das atividades da atrav s de cart es magn ticos inexistente organiza o camaras etc Possibilidade de intrus o na Perdas danos roubo Registo de entradas e sa das sala de servidores atrav s das falhas dos registos inexistente comprometimento de ativos e interrup o das atividades da de pessoas na sala de servidores exemplo por terminal biom trico organiza o Tabela 5 Seguran a F sica Pelos resultados apresentados na tabela do ap ndice I constata se que a maioria das medidas de seguran a f sica aplicada na institui o como a exist ncia de controlos de entrada para permitir somente a entrada de pessoa
33. 5 um padr o reconhecido internacionalmente na rea da seguran a da informa o amplamente utilizada para esbo ar pol ticas de seguran a com o objetivo de proporcionar uma base comum para o desenvolvimento de um padr o organizacional e uma pr tica efetiva na gest o da seguran a da informa o Surge ent o um desafio adicional na gest o da seguran a SI de uma organiza o Qual o n vel da seguran a dos SI da Inpharma Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Justifica o do Tema Um conjunto de controlos por si s n o garantir uma solu o completa de seguran a o mesmo deve ser implementado com outras pr ticas e modelos adotados na rea de TI para apoiar as metas da organiza o Segundo a norma NBR ISO IEC 27002 ABNT 2005 a seguran a da informa o deve preservar os crit rios de disponibilidade integridade confidencialidade autenticidade responsabilidade n o rep dio e confiabilidade A mesma preconiza As organiza es seus sistemas de informa o e redes de computadores s o expostos a diversos tipos de amea as seguran a da informa o incluindo fraudes eletr nicas espionagem sabotagem vandalismo inc ndio e inunda o Portanto a escolha do tema surgiu do interesse de utilizar a norma ABNT NBR ISO IEC 27002 2005 para detetar as vulnerabilidades no Sistema de Informa o da Inpharma por meio de uma an lise baseada nas melhores pr ticas
34. Edmerson Arrigo Duarte Vaz Seguran a dos Sistemas de Informa o Estudo de Caso INPHARMA Universidade Jean Piaget de Cabo Verde Campus Universit rio da Cidade da Praia Caixa Postal 775 Palmarejo Grande Cidade da Praia Santiago Cabo Verde 2 9 14 Edmerson Arrigo Duarte Vaz Seguran a dos Sistemas de Informa o Estudo de Caso INPHARMA Universidade Jean Piaget de Cabo Verde Campus Universit rio da Cidade da Praia Caixa Postal 775 Palmarejo Grande Cidade da Praia Santiago Cabo Verde 2 9 14 Edmerson Arrigo Duarte Vaz autor da monografia intitulada Seguran a dos Sistemas de Informa o declaro que salvo fontes devidamente citadas e referidas o presente documento fruto do meu trabalho pessoal individual e original Cidade da Praia aos 2 de Setembro de 2014 Edmerson Arrigo Duarte Vaz Mem ria Monogr fica apresentada Universidade Jean Piaget de Cabo Verde como parte dos requisitos para a obten o do grau de Licenciatura em Inform tica de Gest o 2 Sum rio Atualmente a seguran a dos sistemas da informa o das organiza es s o cada vez mais colocados prova por diversos tipos de amea as de diversificadas origens onde se incluem as t o frequentes fraudes eletr nicas nomeadamente a espionagem sabotagem vandalismo hackers e ataques DoS que se tornam cada vez mais sofisticados e ambiciosos A depend ncia dos sistemas e servi os de informa o leva a crer que as organiz
35. MA maliciosas na rede como ataques baseados em servi o portscans etc S o instalados em m quinas respons veis por identificar ataques direcionados a toda a rede monitorando o conte do dos pacotes ou do tr fego e seus detalhes como informa es de cabe alhos e protocolos Os NIDS t m como um dos objetivos principais detetar se algu m est tentando entrar no seu sistema ou se algum utilizador leg timo est fazendo mau uso do mesmo 4 3 9 Resposta a ataques Este ponto n o sendo exclusivo da seguran a l gica assume particular relevo neste campo na medida em que precisamente nesta rea que o respons vel pela seguran a do SI da Empresa ter de tomar algumas decis es complexas Qualquer organiza o que possua sistemas inform ticos ligados em rede est exposta a ataques quer sejam oriundos de script kiddies pessoas sem grandes conhecimentos t cnicos que se limitam a descarregar software de ataque da Internet e a utiliz lo aleatoriamente contra alvos indiscriminados quer sejam da autoria de inimigos determinados equipados e organizados decididos a provocar estragos avultados ou a roubar informa o confidencial O n mero de tentativas de infe o ou de tentativas de descoberta de vulnerabilidades de um sistema ligado Internet ascende diariamente s v rias centenas ou mesmo milhares dependendo do perfil do sistema em causa Uma organiza o com bastante proje o na sociedade atrair naturalmente
36. Riscos Aborda uma no o introdut ria de riscos 5 Pol tica de Seguran a da Informa o Prov uma orienta o e apoio da dire o para a seguran a da informa o de acordo com os requisitos do neg cio e com as leis e regulamenta es pertinentes 6 Organizando a Seguran a da Informa o Ger ncia a seguran a da informa o dentro da organiza o 7 Gest o de Ativos Mant m a prote o adequada dos ativos da organiza o 8 Seguran a em Recursos Humanos Assegura que os funcion rios fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus pap is e reduzir o risco de furto ou roubo fraude ou mau uso de recursos 9 Seguran a F sica e do Ambiente Previne o acesso f sico n o autorizado danos e interfer ncias com as instala es e informa es da organiza o 10 Gerenciamento das Opera es e Comunica es Garante a opera o segura e correta dos recursos de processamento da informa o 11 Controlo de Acessos Controla o acesso informa o 12 Aquisi o Desenvolvimento e Manuten o de Sistemas de Informa o Garante que a seguran a parte integrante de sistemas de informa o 13 Gest o de Incidentes de Seguran a da Informa o Assegura que fragilidades e eventos de seguran a da informa o associados com sistemas de informa o sejam comunicados permitindo a tomada de a o corretiva em tempo h bil 68 Seguran a dos Sistema de Informa o
37. SGRSI 26 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA gt Monitoramento e Revis o Quaisquer mudan as no contexto da organiza o e no panorama de risco devem ser revisadas para manter os neg cios da organiza o em conformidade com a gest o de riscos empregada Alguns aspetos que devem ser frequentemente monitorados s o gt Novos ativos e seus valores gt Novas amea as internas e externas gt Altera o na legisla o interna organiza o gt Contexto de mercado gt Possibilidade de novas amea as explorarem novas vulnerabilidades A organiza o deve estabelecer implementar operar monitorar analisar criticamente manter e melhorar um Sistema de Gest o da Seguran a da Informa o SGSI documentado dentro do contexto das atividades de neg cio globais da organiza o e os riscos que ela enfrenta ABNT 2006 Conforme a figura 3 o Planeamento Execu o Controle e A o PDCA um modelo que ir criar manter e aperfei oar o SGSI C heck Figura 3 Modelo PDCA aplicado aos processos do SGSI Fonte ABNT 2006 27 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA O processo de gest o de riscos alinhado com o processo do sistema de gest o de seguran a da informa o de acordo com o padr o estabelecido na norma ISO 27001 2005 que adota o sistema PDCA A tabela 2 faz um resumo das atividades relevantes de gest o de riscos de seguran
38. Segundo esta tabela poder o ser tomadas as medidas pertinentes de seguran a para cada caso em particular tendo em aten o os custos previstos de acordo com o fator de risco apresentado Caneiro 2002 2 Depois de se ter definido o grau de risco necess rio elaborar uma lista das medidas preventivas que devem ser tomadas e das corre es a efetuar em caso de desastre Esta lista deve ser ordenada de acordo com as prioridades e com as respetivas import ncias relativas 19 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA igualmente importante determinar a probabilidade da concretiza o das amea as seguran a do sistema de informa o Essas informa es dever o constar de um documento de an lise de risco no qual os riscos s o identificados classificados sendo depois especificado um conjunto de medidas a serem tomadas para se garantir a seguran a Nessa an lise de risco a seguran a do sistema de informa o realizada em 4 etapas Silva Carvalho e Torres 2003 Identifica o de risco A identifica o dos riscos conseguida atrav s do levantamento do contexto de risco em que a organiza o se insere Para se fazer essa contextualiza o diversos modelos poder o sem empregues entre os quais se destacam a an lise de SWOT Depois da contextualiza o inicia se ent o a identifica o dos elementos necess rios a an lise de risco As amea as as vulnerabilidades e os ben
39. a es est o cada vez mais vulner veis s amea as de seguran a O uso simult neo de redes p blicas e privadas e a partilha de recursos de informa o s o fatores que contribuem para o acr scimo da dificuldade em se controlar os acessos e a respetiva seguran a dos mesmos Para dar a conhecer a Seguran a de Sistema de Informa o foi elaborado um estudo de caso na Inpharma baseada nas melhores pr ticas do mercado orientado pela norma ISO IEC 27002 2005 que rege os padr es internacionais da seguran a da informa o de modo a identificar o n vel de seguran a SI face ao n vel de risco identificado auxiliando a defini o dos pr ximos passos evolutivos da seguran a dos Sistemas e da Informa o com o objetivo de redu o de risco de seguran a com base em refer ncias que aproxime gradualmente o n vel de seguran a praticado aos n veis adequados ao neg cio Por conseguinte dado a import ncia da Seguran a do Sistema de Informa o indispens vel que as medidas devem ser adotadas de forma a minimizar os impactos que podem causar a organiza o Palavras chaves Seguran a Inform tica Sistemas de Informa o Planeamento de Seguran a Dedicat ria A minha m e Maria Sameiro Duarte dos Reis pela confian a e sacrif cio Agradecimentos Este trabalho foi concretizado gra as ao apoio de in meras pessoas que direta ou indiretamente deram algum contributo para que tal acontecesse por i
40. a o ANAC 2014 Certifica o digital brevemente uma realidade em Cabo Verde Dispon vel em http www anac cv index php option com content amp view article amp id 143 3 Anoticia de teste amp catid 35 3 Anoticias banner amp lang pt Consultado a 17 de Junho de 2014 Back J P S 2013 A import ncia dos Back Ups Dispon vel em http seginfoatual blogspot com 2013 12 a importancia dos back ups html Consultado a 23 de Maio de 2014 Beal A 2005 Seguran a da Informa o princ pios e melhores pr ticas para a prote o dos ativos de informa o das organiza es Atlas S o Paulo Carneiro A 2002 Introdu o Seguran a dos Sistemas de Informa o FCA Lisboa CNASI 2012 Amea as Seguran a da Informa o de uma corpora o Dispon vel em http www cnasi com br ameacas a seguranca da informacao de uma corporacao Consultado a 20 de Abril de 2014 Downing C 2001 Dicion rio de termos inform ticos e da internet Paralelo Lisboa Ferreira F Ara jo M 2006 Pol tica de seguran a da informa o Guia pr tico para embalagem e implementa o C Moderna Rio de Janeiro Ferreira J Alves S 1995 Manual T cnico de Seguran a dos Sistemas e Tecnologias de Informa o FCA Editora de Inform tica 100 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA IMA 2014 Pol tica de Seguran a da Informa o Dispon vel em http www i
41. a o Devemos estar atentos aos m nimos detalhes que comp em este tipo de seguran a visto que a informa o a principal ferramenta do processo decis rio das empresas Importa pois analisar diversos aspetos da seguran a l gica que consistem na utiliza o de barreiras e na aplica o de procedimentos que controlam o acesso aos dados de acordo com a concess o de pr vias autoriza es Para garantir a seguran a l gica Mamede 2006 destaca v rios aspetos a serem levados em considera o nomeadamente autentica o e controlo de acesso redund ncia criptografia antiv rus filtragem de conte dos dete o de intrus es assinaturas digitais os quais passa se a fazer refer ncia 4 3 1 Autentica o e Controlo de Acesso Conforme Silva Carvalho e Torres 2003 a autentica o e o controlo de acesso s o quem assegura que nos somos quem dizemos ser e nos permite aceder aquilo a que temos direito que a n vel da infraestrutura redes de comunica o quer a n vel aplicacional atrav s do fornecimento de credenciais do nosso conhecimento exclusivo A autentica o e o controlo de acesso neste caso garante que apenas os utilizadores autorizados tenham acesso aos recursos disponibilizados o que constitui portanto a base para o controlo de acesso aos recursos como tamb m s o elementos b sicos para o processo de prote o da informa o Os controlos de acesso l gico t m por objetivo segundo Mamede 2006
42. a Texto claro Texto claro Mensagem cifrado Chave p blica Chave privada de Gustavo de Gustavo Figura 6 Criptografia Assim trica adaptado de Moraes 2010 De acordo com Oliveira 2000 o algoritmo mais conhecido para a criptografia assim trica o RSA Este algoritmo de acordo com Medeiros 2001 pode ser usado tanto para criptografia de informa es como para o sistema de assinatura digital 44 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA 4 3 4 Assinatura Digital z Este mecanismo um conjunto de dados criptografados associados a um documento que garantem a sua integridade e autenticidade A utiliza o da assinatura digital prova que uma mensagem vem de um determinado emissor porque um processo que apenas o signat rio pode realizar No entanto o recetor deve poder confirmar a assinatura feita pelo emissor e a mensagem n o pode ser alterada sen o a assinatura n o corresponder mais ao documento A validade de uma assinatura digital verifica se se esta se baseia em certificados emitidos por entidades certificadas credenciadas Segundo ANAC 2014 a assinatura digital um documento eletr nico que funciona como uma carteira de identidade virtual que permite a identifica o segura do autor de uma 7 mensagem ou transa o feita nos meios virtuais como a Internet Funciona por meio de procedimento l gicos e matem ticos que asseguram a integridade das informa
43. acto no funcionamento das atividades da organiza o gt Todas a regras e procedimentos de seguran a devem ser documentados e divulgados a todos os utilizadores que beneficiam do uso do sistema gt O respons vel de seguran a dever supervisionar todos os utilizadores certificando se do uso e implementa o de regras b sicas de seguran a com especial aten o para os colaboradores novos ou inexperientes gt Dever ser estabelecido um processo disciplinar formal para fazer face a viola o de pol ticas e procedimentos de seguran a existentes na organiza o gt A demiss o de um funcion rio deve ser acompanhada pela desativa o de todos os acessos deste utilizador a qualquer recurso da organiza o para evitar posterior acesso a informa es da organiza o Caso os procedimentos ou normas aqui estabelecidos sejam violados a dire o da Inpharma se reserva o direito de aplicar as puni es cab veis aos utilizadores respons veis pela viola o da pol tica importante que ap s a dete o de viola o das normas de seguran a estabelecidas na pol tica de seguran a deve determinar se a viola o foi causada de forma intencional ou n o Aos utilizadores que de forma intencional violarem as regras de pol tica de seguran a ficam automaticamente bloqueado o acesso ao sistema da organiza o e ser o aplicadas as seguintes san es advert ncia escrita e em ltimo caso a demiss o Por o
44. administrador por exemplo que permite com que informa es restritas que deveriam estar acess veis apenas para um determinado grupo de usu rios fiquem expostas 3 Perda da Disponibilidade acontece quando a informa o deixa de estar acess vel Justamente por quem necessita dela E o caso que ocorre com a perda de comunica o com um sistema importante para a empresa que pode acontecer com a queda de um Dispon vel em http www ima sp gov br politica de seguranca da informacao Consultado em 19 de Junho de 2014 Congresso de Seguran a da Informa o Auditoria e Govenan a da TIC 14 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA servidor de uma aplica o cr tica de neg cio que pode apresentar uma falha devido h um erro causado por motivo interno ou externo ao equipamento A seguran a de sistemas de informa o caracterizada pela preserva o dos tr s atributos b sicos da informa o disponibilidade confidencialidade integridade e privacidade no acesso aos dados e funcionalidades dos SI ABNT 2005 Na din mica do seu armazenamento processamento e transmiss o as informa es armazenadas podem sofrer s 4 v rios tipos de amea as gt Intrusos utilizadores n o autorizados a aceder ou modificar informa o gt Utilizadores autorizados maliciosos utilizadores autorizados a utilizar o sistema aproveitam para praticar atos il citos e atuam
45. amb m a outras atividades afins conexas ou complementares incluindo a importa o de mat rias primas e subsidi rias necess rias sua atividade Figura 10 Edif cio Bloco Administrativo dos Laborat rios INPHARMA Fonte INPHARMA 2014 Ap s a acredita o do Laborat rio a empresa decidiu iniciar e concluir em 2009 o processo de implementa o de um sistema de gest o da qualidade de modo a evidenciar um sistema documentado de modo consent neo com os requisitos da norma NP EN ISO 9001 2008 demonstrando se em condi es de satisfazer os seus clientes e de melhorar continuamente seu 12 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA desempenho no mbito presta o de servi os de compra log stica distribui o de produtos 15 farmac uticos e relacionados A Inpharma possui um papel chave na sociedade Cabo Verdiana favorecendo o acesso de todos aos medicamentos de que necessitem visando criar riqueza para o pa s reduzindo a importa o de medicamentos originando postos de trabalho e gerando lucros A figura 8 apresenta um breve resumo hist rico da Inpharma Datas 1991 1993 1995 2007 2008 2009 2010 2010 2011 2012 2012 2013 Descri o Constitui o da Empresa In cio da Actividade de Produ o Exporta o para os Mercados de Angola e Mo ambique Condecora o dos Laborat rios Inpharma com a 13 Classe da Medalha de M rito pelo
46. an a F sica adaptado de Carneiro 2002 ssssssesssesssssesssesssessessseeessseessres 30 Tabela 4 Activos de tecnologias e sistemas de informa o da Inpharma 78 Tab la 3 Sef ran a Fisicas ennn a o se e SO Ea aaa pa 87 Tabela 6 Seguran a de Recursos HUMANOS acena guarda A GE 89 Tabela 7 Seguranca LOCA a as a E da Sl uai RS US 91 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Figuras Figura 1 Regras Baseadas no Mapa de risco rr ereeereeanaaeananes 22 Figura 2 Etapas do Sistema de Gest o de Riscos da Seguran a da Informa o 23 Figura 3 Modelo PDCA aplicado aos processos do SGST rea 27 Figura 4 Infraestrutura redundante Exemplo Silva Carvalho e Torres 2003 41 Figura 5 Criptografia Sim trica com uso de uma nica Chave adaptado de Moraes 2010 Sc a la A a a E E E 43 Figura 6 Criptografia Assim trica adaptado de Moraes 2010 ii 44 Fig ra Diagrama de EXECU O ss gass sina ibs feras Dado a lb aaa a da pa 62 Figura 8 Modelo de formula o da pol tica de seguran a adaptado Ferreira e Alves 1995 io a di 66 Figura 9 ABNT NBR ISO IEC 27002 2005 Estrutura Pompeu Gledson 2010 69 Figura 10 Edif cio Bloco Administrativo dos Laborat rios INPHARMA 12 Figura 11 Historial INPHARMA a PEA R ar a R Eaa eai 13 Fi
47. anca LOSICA aaa Ra Db alo E Side S 90 10 Proposta de Politica Mesa Limpa e Prote o de Ecr 92 11 Proposta de Politica de Sensibiliza o e Forma o 94 12 Proposta de Pol tica de Manuten o e Utiliza o dos Equipamentos 96 OTE DIS o RS ANS RRPR RR ERRO NE RO DEN OR SED ARDE E AR RAS RR OR A PR 98 Bibhosrafia esa pairar OGU conteve 100 ANEXO sesser cereo seeo se e NaS E E eNO N SEEEN S ATTS e VSSE OSSEO SSeS e s rr OS EEES i A 1 Declara o de Confidencialidade INPHARMA nsssnssssssssssssssesssssessseessresseesseessesesssees i ADENQICES araras pera do USD CURAS ANDORRA ASST Orek ESES KERES eS etste AES EO NSCS NESS ras dae ii I Checklist proposto para verifica o da Seguran a F sica baseado na norma ABNT NBR ISO IEC 27002r en inui a EEA a NS Ali E iii II Checklist proposto para verifica o da Seguran a dos Recursos Humanos baseado na norma ABNT NBR ISOIEC 27002 siia a i a Fatratal E Sa v II Checklist proposto para verifica o da Seguran a Logica baseado na norma ABNT NERASONEC 002 ea ree a Sof Si capa a data do a vi Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Tabelas Tabela 1 Fatores e grau de risco adaptado Carneiro 2002 19 Tabela 2 Alinhamento do processo do SGSI e do processo de gest o de riscos de seguran a da informa o adaptado ISO IEC 27005 2008 sauna pinos ariana ein ua nada ara a ga 28 Tabela 3 Segur
48. ano 4 Implementa o do plano 5 Manuten o e atualiza o 58 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Cap tulo 2 Plano Global de Seguran a Ap s a an lise de risco a organiza o dever desenvolver um plano de seguran a para as vulnerabilidades e amea as identificadas ao n vel f sico l gico e dos recursos humanos A sua implementa o levar em considera o todos os riscos e vulnerabilidades identificadas Esse plano portanto o documento principal de seguran a da empresa 1 Plano de Seguran a Segundo Carneiro 2002 quando se avalia o n vel de seguran a dos SI numa empresa necess rio elaborar um plano baseado em padr es de seguran a que integre diversos n veis de controlo e que reduza todos os riscos poss veis e apresente solu es para enfrentar as situa es inesperadas ou inevit veis Ainda segundo o autor referido idem ibidem o plano de seguran a E uma estrategia planificada de ac oes e projectos que devem conduzir um SI e os seus centros de processamento de uma situa ao inicial determinada e que tem de ser melhorada a uma nova situa ao j melhorada 59 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Ferreira e Alves 1995 defendem que o objetivo da formula o do plano de seguran a garantir que as atividades cr ticas da organiza o sejam restabelecidas e mantidas o mais rapidamente poss vel a segui
49. anos Para al m disso foi poss vel fazer a observa o direta da infraestrutura com o objetivo de conhecer e interpretar a realidade direta da Seguran a do SI nesta institui o entre troca de ideias com t cnicos do sistema de informa o da Inpharma como tamb m de outras pessoas com conhecimento na rea de estudo procurando sempre n o perder a coer ncia e consist ncia da informa o Estrutura do trabalho O presente trabalho encontra se estruturado da seguinte forma 10 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Introdu o Contextualiza o nessa parte apresenta se a contextualiza o do trabalho tendo o objetivo geral os objetivos espec ficos a metodologia utilizada e a composi o do trabalho Cap tulo 1 Seguran a do Sistema de Informa o nessa se o aborda se a fundamenta o te rica da Seguran a do Sistema de Informa o mostrando a sua a defini o do conceito amea as an lise do risco reas de seguran a testes e auditorias e ainda a seguran a face ao desastre Cap tulo 2 Plano Global de Seguran a neste cap tulo s o abordados alguns aspetos relativos ao plano global de seguran a tais como plano de reposi o conting ncia como tamb m outros documentos de seguran a tais como a pol tica de seguran a normas de seguran a e ainda os procedimentos Cap tulo 3 O Caso INPHARMA nessa apresenta se o estudo de caso da Seguran a dos S
50. ao n vel interno como externo disponibilizados na Internet gt Testes de intrus o tentativas de acesso aos sistemas da empresa por parte de pessoas n o autorizadas Os resultados dever o entretanto ser teis e n o apenas descri es de ataques gt Teste de vulnerabilidades confronto dos sistemas e aplica es existentes com a lista das vulnerabilidades conhecidas S o normalmente realizadas por aplica es que possuem uma base de dados das vulnerabilidades existentes gt Engenharia Social consiste num conjunto simples de tentativas de obten o de informa o por exemplo atrav s do telefone ou de a es mais complexas como tentativa de entrar nas instala es 5 Seguran a face ao desastre Um desastre consiste num acontecimento imprevisto que origina dificuldades e perdas organiza o afetando significativa e de forma negativa a sua capacidade de executar servi os essenciais Silva Carvalho e Torres 2003 Nem todos os incidentes resultam num desastre a maioria provoca apenas um pequeno per odo de indisponibilidade ou seja uma emerg ncia Um desastre resulta de um incidente que afete a capacidade da organiza o em realizar as atividades de suporte aos seus processos cr ticos durante um per odo superior ao limite m ximo tolerado pelas fun es do neg cio Ou seja enquanto as fun es da Empresa provocarem a paragem ou indisponibilidade de alguns processos de suporte o incidente
51. as da Seguran a da Informa o Segundo Ferreira e Araujo 2006 o papel das reas de seguran a nos neg cios tem se tornado uma vantagem competitiva pois embora alguns acreditem que adiciona burocracia podemos considerar que os controlos aumentam de forma significativa a capacidade da organiza o para n o estar t o exposta s perdas financeiras provenientes de fraudes erros de processamentos entre outras possibilidades Dizem que a fun o b sica das reas de Seguran a da Informa o proteger o ativo de informa o minimizando os riscos para n veis aceit veis Em algumas organiza es esta rea tamb m respons vel pela elabora o do plano de continuidade do neg cio Ferreira e Ara jo 2006 A seguran a da Informa o n o envolve somente o ambiente de tecnologia mas tamb m envolve diversas reas de seguran a que de seguida s o apresentadas 4 1 Seguran a F sica O ambiente f sico no qual a empresa opera normalmente tratado com uma certa indiferen a visto que muitas empresas n o d o o devido valor a esta quest o A seguran a f sica o passo inicial para a defesa da corpora o no sentido de proteger as suas informa es contra acessos n o autorizados A seguran a em tecnologia da informa o pode ser compreendida por dois principais aspetos seguran a l gica e seguran a f sica A seguran a f sica desempenha um papel t o importante quanto a seguran a l gica porque
52. atividades da organiza o gt A atualiza o do antiv rus feita efetuada de forma autom tica e centralizada a todos os computadores da rede gt Os funcion rios devem comprometer atrav s de um documento declara o de confidencialidade escrito a preservar o sigilo das informa es da organiza o gt O acesso remoto o tr fego de informa es dever ser protegido por VPN quando se trata de informa es confidenciais e cr ticas para a organiza o gt Existe instalado na rede um software para dete o de intrusos IDS para identifica o de qualquer tipo de intrus o que possa prejudicar o normal funcionamento do sistema gt Os equipamentos s o protegidos contra falhas de energia e outras anomalias na alimenta o el trica utilizando fornecimento de energia permanente como alimenta o m ltipla no break gerador de reserva etc gt Os cabeamentos el tricos e de telecomunica es que transmite dados ou suporta os servi os de informa o protegido contra interceta o ou dano 9 Analise dos Resultados A an lise dos resultados da Checklist proposta para a verifica o dos controlos de seguran a baseada na norma ABNT NBR ISO IEC 27002 foi efetuada em tr s fases distintas Em primeiro lugar verificou se a an lise dos resultados da Seguran a F sica Seguidamente realizou se a an lise dos resultados da Seguran a dos Recursos Humanos Numa terceira fase realizou se a an li
53. cados no campo da seguran a da informa o dever ter um alcance claramente definido com o objetivo de ser eficaz Se apropriado dever conter a avalia o dos riscos de outras reas da organiza o A avalia o dos riscos deve ser feita tendo em conta uma an lise de custo benef cio para revelar se compensa um risco ser minimizado ou transferido Em suma se um risco tem baixa probabilidade de ocorrer e o seu custo de tratamento elevado n o compensa essa tomada de decis o 18 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Os requisitos de seguran a s o identificados atrav s de uma avalia o sistem tica dos riscos de seguran a Os investimentos na implementa o dos controles de seguran a dever o ser analisados de acordo com os danos causados ao neg cio da organiza o que poder o ser gerados pelas potenciais falhas na seguran a Segundo Carneiro 2002 logo que seja elaborada uma lista dos fatores de risco existentes pode se organizar uma tabela que mostra o grau de risco de cada uma deles como a que se apresenta a seguir Tipo de Fator de Risco Grau de Risco Roubo de hardware Baixo Vandalismo Medio Defici ncia nos equipamentos Medio Fraude Baixo Fogo Muito baixo V rus Inform ticos Medio Erros humanos Medio Acessos n o autorizados Medio Roubo de informa o Medio Tabela 1 Fatores e grau de risco adaptado Carneiro 2002
54. como intrusos acedendo ou modificando dados de uma forma il cita o gt Utilizadores autorizados e negligentes utilizadores autorizados a acederem oy informa o que de uma forma n o deliberada realizam certas a es que levam modifica o da informa o ou permite que pessoas n o autorizadas o fa am De acordo com o resultado que podem produzir essas amea as podem ser classificadas gt Rejei o gt Revela o gt Modifica o gt Falsifica o Cada uma dessas amea as possui formas espec ficas de atuar sobre os dados nos servidores clientes Os itens seguintes analisam sinteticamente essas amea as Dispon vel em http www cnasi com br ameacas a seguranca da informacao de uma corporacao Consultado em 20 de Abril de 2014 15 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA a Rejei o Quando o autor de um determinado documento refuta a autoria do mesmo ou um utilizador nega ter enviado determinada informa o apesar de efetivamente o ter feito est se perante um caso de rejei o b Revela o Segundo Mamede 2006 por confidencialidade entende se o manter seguro o conte do de uma mensagem evitando que possa ser acedido por algu m n o autorizado para o fazer tornando se dessa forma conhecedor do mesmo Conforme Rosa 2004 pode ocorrer perda de confidencialidade e privacidade quando os dados estiverem armazenados em servidores clie
55. completo gt Os backups s o efetuados para o reposit rio alocado no disco 500GB F Backup2Disk gt O restauro dos backups pode ser concretizado atrav s da mesma ferramenta 81 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA gt E enviado aos administradores do sistema notifica es de alerta via e mail como demonstra a figura 15 abaixo Server SRVDC Job Backup Diario Disco The job completed successfully However the following conditions were encountered 5 files were skipped Figura 15 Mensagem de notifica o de alerta do estado de backup Fonte INPHARMA 2014 No entanto segundo o administrador de SI o sistema de backups implementado aquando da reformula o inform tica realizada no final do ano de 2008 abarcava toda a informa o de neg cio e informa o corporativa considerada importante e era realizado diariamente com as seguintes caracter sticas de segunda a quinta com reten o de uma semana sextas com reten o mensal sendo que a ltima sexta do m s era retida por sete meses Este cen rio inicial foi naturalmente sendo alterado no decorrer dos ltimos anos donde destacou se naturalmente o aumento extraordin rio do volume de informa o a salvaguardar e das v rias avarias sofridas com o sistema respons vel pela componente de backup amp restore de hardware e software Em maio do ano de 2013 ocorreu uma avaria no sistema de hardware tapes que veio li
56. ctos englobando a recupera o de Silva Carvalho e Torres 2003 gt Sistemas gt Dados gt Comunica es de dados e de voz gt Processos TI e n o tecnol gicos log stica de mat ria prima etc gt Postos de trabalho Para al m destes dever o ser elaborados ainda procedimentos para o processo de comunica o externa designada notifica o interna designada de ativa o e de declara o do desastre aos fornecedores de servi os de recupera o e de suporte desloca o de pessoal e equipamento etc 1 3 Plano de Reposi o O Plano de Reposi o consiste em estabelecer normas que permitam repor o funcionamento do sistema em caso de interrup o ou avaria Ferreira e Alves 1995 Deve estar sempre dispon vel para fazer face s situa es de interrup o ou avaria do sistema Segundo o mesmo autor idem o plano de reposi o pode aplicar se em caso de ocorr ncia de incidentes do tipo gt Avarias no equipamento gt Avarias de climatiza o ou de energia el trica gt Destrui o de ficheiros 63 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA O objetivo principal deste plano criar c pia de seguran a de toda a informa o relevante Para tal deve se seguir um conjunto de procedimentos e Ferreira e Alves 1995 citam os seguintes que devem ser estabelecidos pelo respons vel pelo sistema inform tico gt Periodicidade das c pias de seguran a
57. da o Se os aspetos ambientais s o monitorados para evitar condi es que possam afetar de maneira adversa a opera o das instala es de processamento da informa o iii Fornecimento de Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Os equipamentos s o protegidos contra falhas de energia e outras anomalias na alimenta o el trica utilizando fornecimento de energia 1 2 2 Re us energia permanente como alimenta o m ltipla no break gerador de reserva etc Se o cabeamento el trico e de telecomunica es que transmite dados ou suporta os servi os de informa o protegido contra interceta o Seguran a do 1 2 3 ou dano cabeamento E EEE E E Se existe algum controle de seguran a adicional para informa es sens veis ou cr ticas Normalmente os equipamentos t m manuten o de acordo com as especifica es do fabricante M A manuten o realizada apenas pelo pessoal autorizado 1 2 4 Manuten o dos gt equipamentos Existem registros com as falhas suspeitas ou ocorridas e de toda a manuten o corretiva e preventiva Se os controles apropriados s o utilizados quando do envio de equipamentos para manuten o fora da instala o f sica Seguran a de 1 2 5 equipamentos fora das Se um equipamento autorizado pela dire o quando necessitar ser depend ncias da utilizado fora das instala es da or
58. da publicamente Enquanto uma chave utilizada para encripta o outra usada para decripta o Esse modo por ser mais complexo muito mais lento que a criptografia sim trica algo de 100 a 1 000 vezes mais lento 43 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Se por um lado a grande vantagem da criptografia assim trica segundo Medeiros 2001 que ultrapassado o problema de gest o das chaves j n o h necessidade de se ter um canal seguro para a transmiss o da chave secreta ou seja o emissor n o tem que dar ao recetor a conhecer secretamente a chave porque a chave que cifra diferente da que decifra a informa o tornando o processo mais seguro 2 Por outro Mamede 2006 afirma que este tipo de criptografia mais lenta que a criptografia sim trica exigindo maior poder computacional Um outro problema ligado utiliza o da criptografia assim trica segundo Silva Carvalho e Torres 2003 que este tipo de criptografia n o garante a autenticidade do remetente ou seja se a chave que cifra a p blica que pode ser trocada livremente n o h quaisquer garantias que a chave a do destinat rio pretendido A autentica o nesse caso garantida com recurso a assinatura digital que de seguida passa se a descrever A Figura 5 apresenta a criptografia assim trica ilustrando a chave p blica e privada nas opera es Cniptografa amp Q Decriptograf
59. de acesso n o autorizado Mas podemos dizer que o fogo uma das principais amea as da seguran a f sica dos SI podendo destruir totalmente os arquivos de informa o ou os equipamentos inform ticos Para reduzir esses riscos Carneiro 2002 aponta alguns cuidados a ter gt A temperatura n o deve ultrapassar os 18 C e o limite da humidade n o deve ir acima dos 65 para evitar a deteriora o gt O pessoal deve ser treinado no sentido de saber usar os extintores gt Devem existir extintores em todas as instala es do Departamento da Inform tica colocados em locais tecnicamente adequados e sendo conveniente que os mesmos sejam experimentados 33 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Conforme a ABNT 2005 devem ser levadas em considera o as seguintes diretrizes para proteger os equipamentos gt Os equipamentos sejam colocados no local a fim de minimizar o acesso desnecess rio s reas de trabalho gt As instala es de processamento da informa o que manuseiam dados sens veis devem ser posicionadas para que o ngulo de vis o seja restrito de modo a reduzir o risco de que as informa es sejam vistas por pessoal n o autorizado durante a sua utiliza o e os locais de armazenagem devem ser protegidos a fim de evitar o acesso n o autorizado Segundo a norma ABNT 2005 os equipamentos devem ser protegidos contra falta de energia el trica e outras inter
60. de n emitido em _ pelo Arquivo Nacional de Identifica o Civil e Criminal de residente em possuindo habilita es acad micas a exercer fun es de na dos Laborat rios Inpharma SA declara sob compromisso de honra guardar segredo profissional relativamente a todos os factos de que tenha conhecimento no decorrer do exerc cio das suas fun es obrigando se a manter o sigilo ap s eventual cessa o de fun es por qualquer motivo Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Ap ndices Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Checklist proposto para verifica o da Seguran a F sica baseado na norma ABNT NBR ISO IEC 27002 CHECKLIST PROPOSTO PARA VERIFICA O DA SEGURAN A FISICA BASEADO NA NORMA ABNT NBR ISO IEC 27002 1 Seguran a F sica e do Ambiente 1 1 Areas de Seguran a As barreiras f sicas como recursos de seguran a foram implementadas para proteger o servi o de processamento da E LIA Per metro de seguran a informa o O f sica Alguns exemplos de tais recursos de seguran a s o o controlo por cart o do port o de entrada presen a de um funcion rio na rece o etc i Existem controlos de entrada para permitir somente a entrada do pessoal autorizado na sala espec fica para os servidores 1 1 2 Controles de entrada As salas que possuem o servi o de proce
61. e dete o numa abordagem de seguran a corporativa Nesse sentido uma dete o eficaz preponderante para a manuten o do n vel de seguran a de uma organiza o garantindo a disponibilidade e competitividade do neg cio em causa Conclu mos igualmente que faz se necess rio a implementa o de uma pol tica de seguran a da informa o na INPHARMA que tem por objetivo definir procedimentos e especificando fun es que devem ser seguidas pelos colaboradores da organiza o Mas no entanto n o basta ter uma pol tica de seguran a escrita se n o for aplicada e apoiada pela administra o ou se os colaboradores n o possuem conhecimento dela Refor amos o facto de seguir uma norma ISO IEC 27002 meramente uma boa pr tica a seguir mas que dever ser sempre enquadrada com as necessidades e exig ncias do modelo de neg cio da Organiza o Mas no entanto essa norma foi de muita utilidade e trouxe maior efici ncia no decorrer desse processo pois possibilitou uma an lise profundo dos controlos e atrav s desta foi poss vel propor medidas de melhorias a SSI da INPHARMA 99 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Bibliografia ABNT 2005 Tecnologia da informa o T cnicas de seguran a C digo de pr tica para a gest o da seguran a da informa o Rio de Janeiro ABNT 2008 Tecnologia da informa o T cnicas de seguran a Gest o de riscos de seguran a da inform
62. e usurpa o de sess es autenticadas em computadores momentaneamente sem utilizadores 92 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Esta pol tica aplica se a todos os utilizadores que t m acesso a qualquer sistema ou tecnologia de informa o que perten a ou seja manipulado na Inpharma sendo eles funcion rios estagi rios prestadores de servi os ou terceiros devidamente autorizados Os seguintes controlos devem ser considerados gt Sobre a mesa e na rea de trabalho dos colaboradores n o deve ser deixada informa o confidencial acess vel a pessoas n o autorizadas Esta situa o assume maior import ncia nos intervalos de aus ncia como a pausa para almo o ou no final do dia A informa o confidencial deve ser guardada em arm rio fechado ou cofre conforme o caso Todos os res duos de papel que contenham informa es pessoais ou dados confidenciais devem ser processados de forma a assegurar a prote o da informa o nomeadamente com a sua destrui o rasgar ou triturar Este tipo de res duos de papel n o deve ser jogado fora como o lixo normal nas caixas de papel usado Sempre que os utilizadores sa rem do posto de trabalho e o PC estiver ligado essencial que eles bloqueiam o ecr pressionando Ctrl Alt Delete e ent o entrar para confirmar que pretendem bloquear o posto de trabalho Os computadores e as impressoras devem ser desligados quando n o e
63. eguran a do SI que s o aplicadas nesta Institui o Segundo o administrador de sistema de informa o a Inpharma aplica as seguintes medidas 2 gt O acesso organiza o controlado por guardas que solicitam o documento de identifica o de pessoas n o autorizado e faz o registo das entradas e sa das gt A todos os utilizadores funcion rios prestadores de servi os s o atribu dos um username e uma palavra chave que s o nicas e que n o devem ser compartilhadas com qualquer outro colaborador gt Os utilizadores s o solicitados a seguir boas praticas de SI no uso de senhas as senhas contem oito caracteres no m nimo incluindo alguns n meros e caracteres especiais tais como gt As palavras chave devem ser alteradas em intervalos regulares 45 dias A equipa de suporte apoia os utilizadores demonstrando como devem efetuar a altera o da palavra chave caso tiverem alguma dificuldade 83 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA O acesso s aplica es da Inpharma ser atribu do tendo em conta as necessidades inerentes ao estatuto dos colaboradores e rea de atividade na institui o N o s o permitidas atitudes a es tais como tentativas de acesso n o autorizado a dados ou a conta de outro utilizador ou ainda tentativas de invadir ou sobrecarregar congestionar deliberadamente a rede Os respons veis pelo Sistemas de Informa o da I
64. ess rio mapear e monitorar as vulnerabilidades dos ativos da organiza o e respetivos controlos principalmente em ambientes de constantes mudan as gt Identifica o de consequ ncias Na poss vel atua o de um risco que perdas nos objetivos da seguran a integridade confidencialidade e disponibilidade podem ocorrer necess rio analisar os impactos que um risco pode causar e n o omitir as brechas de seguran a que possam existir As consequ ncias de um evento de seguran a principalmente em empresas privadas fazem com que a curva de tend ncia fal ncia aumente at sua perda total Por isso a estimativa destas consequ ncias deve conter valores quantitativos e qualitativos Conforme j mencionado o custo contribui principalmente para a gest o estrat gica da organiza o gt Estimativa do Risco Por meio de abordagens qualitativas e quantitativas pode se atribuir valores para a probabilidade de atua o do risco e seus impactos Na etapa Estimativa do Risco devem ser analisadas as rela es custo x benef cio a severidade de tratamento do risco e o potencial de perda que o impacto do risco pode trazer organiza o 25 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA gt Avalia o do Risco De acordo com a relev ncia para os objetivos de neg cio da organiza o podem avaliar se os riscos em n veis de prioridades Ou seja as decis es consequentes da avalia
65. est protegida contra o acesso por pessoas n o autorizadas confidencialidade est sempre dispon vel quando necess ria disponibilidade confi vel integridade e aut ntica autenticidade Estes conceitos s o vistos como suporte para a Seguran a da Informa o 13 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Nesse sentido podemos definir a seguran a dos SI como um conjunto de medidas e procedimentos que t m por finalidade evitar que a informa o seja destru da alterada ou acedida incidental ou intencionalmente de uma forma n o autorizada 2 Amea as Amea a uma causa potencial de um incidente indesejado que pode resultar em um dano para um sistema ou organiza o IMA 2014 A amea a pode ser definida como sendo um evento com um impacto indesejado que pode resultar na perda dano divulga o de um ativo organizacional Para a CNASI 2012 as amea as seguran a de uma organiza o est o sempre relacionados com a perda de uma ou mais das suas tr s caracter sticas principais que s o 1 Perda da Integridade acontece quando certa informa o fica exposta ao manuseio de uma pessoa n o autorizada que acaba por efetuar altera es n o aprovadas e sem o controle privado ou corporativo do propriet rio da informa o 2 Perda da Confidencialidade ocorre quando h uma quebra de sigilo de uma determinada informa o como a senha de um utilizador ou
66. filtragem de conte dos contribui at para economizar recursos evitando o seu uso em pr ticas n o relacionadas com atividades da institui o o que resulta numa economia para a empresa em termos de recursos gastos para suportar atividades como por exemplo downloads ilegais 4 3 7 Salvaguarda da Informa o Segundo Silva Carvalho e Torres 2003 medida que aumenta a capacidade de armazenamento dispon vel e cresce a complexidade dos sistemas de processamento de Dispon vel em http www anac cv index php option com content amp view article amp id 143 3 Anoticia de teste amp catid 35 3 Anoticias banner amp lang pt Consultado em 17 de Junho de 2014 9 4 2 D a URL Uniform Resource Locator a forma nica e exata de localizar a informa o dispon vel na internet Downing 2001 47 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA informa o o volume de dados armazenados segue esta tend ncia atingindo propor es significativas As empresas cada vez mais deparam se com a necessidade de prote o de um conjunto complexo de informa o disperso por v rios suportes e gerado por diferentes aplica es Felizmente as solu es de salvaguarda ou backup atuais acompanharam esta evolu o e oferecem hoje n veis de desempenho e de prote o amplamente satisfat rios Conforme Back 2013 a forma mais adotada para salvaguardar informa es a c pia de seguran a Sil
67. ganiza o organiza o Reutiliza o e asa E E Jra z Os dispositivos de armazenamento contendo informa es sens veis 1 2 6 aliena o segura dos 5 s o fisicamente destru dos ou sobrescritos de maneira segura equipamentos 1 3 Controles Gerais Os equipamentos informa es ou software podem ser retirados em adequada autoriza o 1 3 1 Remo o de S o realizadas inspe es regulares para detetar remo o de propriedade propriedade n o autorizada As pessoas est o cientes que estas inspe es regulares est o sendo realizadas iv Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Il Checklist proposto para verifica o da Seguran a dos Recursos Humanos baseado na norma ABNT NBR ISO IEC 27002 CHECKLIST PARA VERIFICA O DA SEGURAN A DE REC HUMANOS BASEADO NA NORMA ABNT NBR ISO IEC 27002 1 Seguran a dos Recursos Humanos 1 1 Antes de Emprego x No processo de recrutamento de funcion rios permanentes contratados Fun es e ER na 5 1 1 1 c e agentes tempor rios levado em conta a responsabilidade de Responsabilidades seguran a 1 1 2 Blindagem E efetuado uma an lise dos curr culos e din micas do grupo no processo de sele o 113 Termos e condi es de inclu do em contratos os termos e condi es de emprego e de outros Emprego acordos assinados sobre os pap is e responsabilidade de seguran
68. gura 12 Miss o Vis o Valores da INPHARMA e eeeeerereceeeaa 15 Figura 13 Organograma da INPHARMA coscucmsssragsa ss dadids esdenia postlaani ita gpa s aegelp da SB anng pai stasa sa ad 76 Figura 14 Arquitetura de rede INPHARMA nsssssessessessiesisrsesresseseresresrserssresseseresressersresressesee 80 Figura 15 Mensagem de notifica o de alerta do estado de backup seseseseeerseseeeersrrereeresee 82 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Siglas Abreviaturas ABNT Associa o Brasileira de Normas e T cnicas ADSL Asymmetric Digital Subscriber Line AES Padr o de Criptografia Avan ada ANAC Agencia Nacional de Comunica es BS British Standard CNASI Congresso de Seguran a da Informa o Auditoria e Governan a da TIC COBIT Objectives for Information and related Technology DE Dire o Executiva DES Data Encryption Standard DOS Denial of Service HIDS Host based Intrusion Detection System IOT International Organization for Standardization ISACA Information Systems Audit and Control Association ISO International Standards Organization NIDS Netwok Intrusion Detection System PDCA Planear Inplementar Verificar Agir PIN Personal Identification Number RAID Redundant Array of Unresponsive Disks RC2 Encryption Algorithm RSA Rivest Chamir e Adleman SGRSI Sistema de Gest o de Riscos da Seguran a da Informa o SI Si
69. iando estruturas redundantes como se ilustra no exemplo da figura 4 Cesto LT ee Figura 4 Infraestrutura redundante Exemplo Silva Carvalho e Torres 2003 A prote o atrav s da redund ncia encontra se intimamente ligada com a quest o do armazenamento 4 3 3 Criptografia Segundo Oliveira 2000 a criptografia como um conjunto de t cnicas que tornam uma mensagem incompreens vel permitindo apenas que o destinat rio que conhece a chave de encripta o consiga desencriptar e ler a mensagem com clareza O objetivo de criptografia neste caso utilizar algoritmos de codifica o e descodifica o para que o conte do da mensagem s pode ser decifrado pelo emissor e o recetor Para ABNT 2005 a criptografia a arte de codifica o que permite a transforma o revers vel da informa o de forma a torn la intelig vel a terceiros Esta utiliza determinados algoritmos numa chave secreta para a partir de um conjunto de dados n o criptografados produzir uma sequ ncia de dados criptografados Conforme Monteiro e Boavida 2000 distinguem duas categorias b sicas de mecanismos de codifica o criptografia sim trica tamb m chamada de criptografia de chave secreta ou partilhada e criptografia assim trica ou criptografia de chave p blica 41 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA 4 3 3 1 Criptografia Sim trica Na criptografia sim trica utili
70. iciosos antiv rus utiliza o de controlos criptogr ficos controlo de conex o a rede restri o de acesso a informa o uso de sistema de monitora o etc Mas no entanto a an lise da tabela acima revela ainda a possibilidade de melhoria da Seguran a l gica com a aplica o da pol tica de mesa limpa e bloqueio de ecr por parte dos utilizadores como tamb m a aplica o de uma pol tica de seguran a a n vel de c pias de seguran a recupera o a desastre e continuidade de neg cio Nesse sentido foi proposto a implementa o dessas pol ticas como forma de solucionar essas falhas 10 Proposta de Politica Mesa Limpa e Prote o de Ecr Dada a inexist ncia de uma pol tica de seguran a de mesa limpa e prote o de ecr na INPHARMA a proposta vai no sentido de apresentar uma politica baseada na norma da ISO IEC 17799 A pol tica de Mesa limpa e Prote o de Ecr tem como objetivo definir diretrizes que reduzam os riscos de acesso n o autorizado do roubo de informa es ou da altera o de informa es durante e fora do hor rio de expediente causados por documentos que possam ser deixados sozinhos nas instala es da empresa ou por descuido do utilizador ISO 27001 17799 Nesse sentido a Inpharma deve considerar a ado o de uma politica de mesas limpas para a informa o em suporte de papel e igualmente uma pol tica de bloqueio de ecr que proteja contra o perigo d
71. iginais a mensagem deixa de ser ntegra podendo comprometer um enorme volume de dados acarretando elevados preju zos d Falsifica o Monteiro e Boavida 2000 definem a autenticidade como o processo atrav s do qual validada a identidade de um utilizador dispositivo ou processo A autentica o pode ocorrer quando se falsificam os dados armazenados nos servidores quando se criam servidores fantasma ou quando se alteram a origem dos dados que s o apresentados ao servidor tanto ao n vel de utilizador como de servidor de origem De acordo com Medeiros 2001 o servi o de autentica o pode ser implementado por mecanismos de password ou assinatura digital estas quest es ser o desenvolvidas nos pr ximos pontos deste cap tulo Existem v rias outras amea as relacionadas com o pr prio ambiente envolvente incluindo portanto desastres naturais falhas el tricas estragos f sicos acidentais e ataques f sicos Conforme a norma ABNT 2008 as amea as podem ser classificadas em tr s grupos a Amea as naturais est o ligadas aos fen menos da natureza e qualquer organiza o est exposta a isso s o exemplos as inunda es inc ndios furac es e tornados b Amea as intencionais s o amea as que s o criadas com a inten o de prejudicar causar dano por exemplo fraudes sabotagem roubo c Amea as involunt rias s o amea as que acontecem por falta de conhecimento e p
72. ir ao respons vel pela seguran a a reconstitui o dos eventos Silva Carvalho e Torres 2003 Com uma regularidade definida esses registos dever o ser retirados dos sistemas e por exemplo copiados para um suporte digital guardado em local seguro Esta manuten o hist rica poder permitir por exemplo determinar o in cio das tarefas de explora o que conduziram a uma tentativa de intrus o Ou poder o revelar a partir de quando que um utilizador come ou a imprimir documenta o confidencial Esta tarefa que consome pouco tempo e recursos poder ser um meio valios ssimo de determina o de acontecimentos e um precioso auxiliar na obten o de provas incriminat rias contra um delinquente Por m deve ser dada particular aten o defini o do que deve ser registado Se em certos sistemas conveniente registar toda e qualquer atividade outros por exemplo apenas necessitar o do registo de entradas e sa das no sistema e de acesso aos ficheiros do sistema operativo Esta defini o se n o for cuidadosamente realizada poder criar uma quantidade de dados que simplesmente devido ao seu elevado volume se tornam impratic veis de gerir Os registos s o efetivamente a ltima arma na linha de defesa e de rea o a ataques S o essenciais para determinar o que aconteceu quando e como e s o um instrumento fundamental na prossecu o de a es punitivas 54 Seguran a dos Sistema de Informa
73. istemas de Informa o da Inpharma onde s o abordados diversos aspetos tais como a hist ria vis o miss o e valores a arquitetura de rede as medidas de seguran a os resultados seguido da conclus o 11 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Cap tulo 1 Seguran a dos Sistema de Informa o Antes de abordar a tem tica da Seguran a dos Sistema de Informa o de extrema import ncia que se conhe a alguns conceitos chave relacionados com a Seguran a E um dos conceitos que necessita ser bem compreendido o da Seguran a visto que um fator decisivo na gest o das organiza es por ser um recurso importante e indispens vel tanto no contexto interno como tamb m no externo 1 Conceito de Seguran a do Sistema de Informa o A perce o do conceito de Sistemas de Informa o SI dentro de uma organiza o de extrema import ncia para o processo da Seguran a dos Sistemas de Informa o SSD de forma a recolher informa es precisas que melhor auxiliam nessa tarefa Embora n o exista uma defini o universalmente aceite sobre o conceito da Seguran a do SI muitos autores abordam esses conceitos mostrando a forte rela o entre a organiza o a seguran a e a informa o 12 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA No entender da IOT 2002 seguran a tida como a tentativa de minimizar a vulnerabilidade de valores e recursos e
74. l autorizado nas instala es da institui o exist ncia de per metro de seguran a videovigil ncia alarme guardas com presen a permanente a utiliza o do UPS para prote o dos equipamentos contra falhas de energia etc 87 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Mas no entanto pelos resultados apresentados na tabela 5 verificamos que a seguran a f sica dos equipamentos que s o utilizados fora das instala es da organiza o pode ser melhorada com a introdu o de alguns controlos adicionais tais como controlos de acesso ao equipamento password BIOS e encripta o de discos Relativamente a possibilidade de intrus o na sala de servidores atrav s das falhas dos controlos inexistente foi proposto o acesso controlado a sala dos servidores por exemplo atrav s de cart es magn ticos camaras etc No que tange a possibilidade de intrus o no per metro f sico da empresa atrav s das falhas do muro inexistente pode ser melhorada com o refor o dos muros de forma a impedir o acesso n o autorizado de pessoas Nota se ainda a possibilidade de intrus o na sala de servidores atrav s das falhas dos registos inexistente o que poder ser solucionada com a utiliza o de registo de entradas e sa das de pessoas na sala de servidores por exemplo atrav s terminal biom trico Portanto a seguran a f sica rigorosa parece carecer de algumas melhorias na Inpharma 9 2 Seguran a com Recursos
75. m definir o n vel de criticidade e capacidade de cada ativo identificado Como boa pr tica de gest o devem ser estabelecidas medidas alternativas de recupera o a desastres e continuidade de neg cio para os ativos de maior criticidade para o neg cio da Organiza o 4 3 8 Dete o de Intrus es De acordo com Silva Carvalho e Torres 2003 os sistemas de dete o de intrus o oferecem visibilidade a uma organiza o das v rias tentativas de intrus o tanto no que sucede no seu exterior e mesmo a es internas de viola o da seguran a como tentativas de acesso a recursos protegidos por parte de funcion rios 51 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Segundo Santos 2010 existem diversas ferramentas que contribuem significativamente para melhoria da seguran a de uma rede tais como a criptografia que estabelece um n vel de prote o para dados o uso de Firewall estabelecem uma l gica na entrada e sa da da rede controlando o tr fego a n vel de pacotes a VPN que cria um t nel criptografado entre 2 pontos de rede etc Entre elas o sistema de dete o de intrus o merece um destaque especial pois engloba o processo de monitorar identificar e notificar a ocorr ncia de atividades maliciosas atividades n o autorizadas que coloquem em risco e tenham como alvo ativos de tecnologia de uma rede de computadores Os mesmos autores idem ibidem dividem os sistemas de dete
76. ma sp gov br politica de seguranca da informacao Consultado a 19 de Junho de 2014 INPHARMA 2014 Hist ria da Inpharma Dispon vel em http feste inpharma cv Consultado a 9 de Junho de 2014 INPHARMA 2014 Organigrama da Inpharma Dispon vel em http teste inpharma cv uploads Manual de Acolhimento png Consultado a 9 de Junho de 2014 ISO IEC 17799 2001 Tecnologia da Informa o C digo de Pratica para Gest o da Seguran a de Informa o Dispon vel em http www procedimentosemti com br downloads NBR 17799 Consultado a 2 de Setembro de 2014 Mamede H 2006 Seguran a Inform tica nas Organiza es FCA Lisboa Medeiros C D R 2001 Seguran a da informa o Implanta o de medidas e ferramentas de seguran a da informa o Monteiro E Boavida F 2000 Engenharia de redes inform ticas FCA Lisboa Moraes A F 2010 Seguran a em Redes Fundamentos 1 edi o S o Paulo Oliveira W 2000 T cnica para Hackers solu es para seguran a C Atl ntico Lisboa Rosa B I 2004 Seguran a dos Sistemas de Informa o na Cidade da Praia Dispon vel em http bdigital cv unipiaget org 8080 jspui handle 10964 241 Consultado em 20 de Abril de 2014 Salgado I J C Bandeira R Silva R S 2004 An lise de seguran a f sica em conformidade com a norma ABNT NBR ISO IEC 17799 Santos V 2010 Sistemas de Dete o de Intrus es IDS Intrusio
77. mais aten es do que uma pequena Empresa praticamente desconhecida Mas ningu m est isento desta realidade Como tal torna se necess rio prever o maior n mero poss vel de ocorr ncias bem como a respetiva resposta Silva Carvalho e Torres 2003 Hoje em dia praticamente todos os sistemas inform ticos fornecem uma qualquer forma de registar a utiliza o que deles feita Estes registos ou logs constituem os elementos que permitem reconstituir acontecimentos e ter uma vis o da utiliza o que dada a determinado sistema Assiste se em muitos casos defini o pouco cuidadosa do que fica registado do respetivo grau de pormenor e do que fazer a esses registos De facto muitos s o os sistemas 53 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA em que a defini o de logging rotativa ou seja ao fim de algum tempo os registos mais recentes s o sobrepostos a outros mais antigos Dever pelo contr rio existir uma pol tica de reten o de logs que defina n o s a dura o volume e n vel de detalhe desses registos mas que estabele a igualmente a sua remo o dos sistemas para locais seguros ou para outros sistemas Afinal a ltima coisa que um atacante tipicamente faz antes de deixar um sistema que acabou de penetrar eliminar o registo das suas atividades Se este for copiado em tempo real para outro sistema inform tico da Empresa a sua elimina o num sistema n o imped
78. mecanismos de prote o podem assumir a duplica o total da infraestrutura inform tica existente numa localiza o remota com transfer ncia automatizada de dados entre locais Este tipo de solu es normalmente adotados para estruturas extremamente cr ticas e sem qualquer toler ncia de downtime implica um investimento inicial avultado e custos de manuten o que podem ser igualmente elevados Silva Carvalho e Torres 2003 Por este motivo as solu es mais comuns passam pela cria o de clusters de m quinas e pela implementa o de solu es de discos em RAID em que a informa o partilhada por v rios discos sendo que a indisponibilidade de um deles n o implica a indisponibilidade dos dados nele contidos Para Rosa 2004 no campo da prote o da informa o este mecanismo permite evitar a indisponibilidade da informa o Pode ser concretizado por exemplo atrav s da utiliza o de RAID com paridade O planeamento redundante das rotas de redes poder ser um mecanismo muito til na mitiga o de ataques Ao n vel da infraestrutura de suporte aos dados existe a possibilidade de criar solu es redundantes a praticamente todos os n veis Segundo Silva Carvalho e Torres 2003 para al m dos clusters de m quinas j referidos os pr prios equipamentos ativos da rede de dados 40 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA router switch hub etc podem ser duplicados cr
79. menos uma vez por semana e que todos os drives sejam examinados constantemente 46 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA 4 3 6 Filtragem de Conte dos Os mecanismos de filtragem de conte dos n o se limitam em detetar mensagens em que os anexos podem conter algum c digo malicioso mas desempenham outras fun es especificamente em mensagens de correio eletr nico ou conte dos Web e podem ser usados juntamente com o sistema antiv rus Entre outras fun es de filtragem de conte dos podemos indicar a restri o a determinados acessos em termos de utiliza o da internet como por exemplo c pia de filmes acesso a conte dos pornogr ficos etc restringir o acesso a software ilegal ou seja definir o que permitido e o que negado aos utilizadores igualmente fun o deste mecanismo detetar e impedir tentativas de transmiss o de informa o confidencial de acordo com Silva Carvalho e Torres 2003 Tais restri es podem ser feitas de acordo com os mesmos autores idem ibidem com base nas listas de endere os URL ou com base nas palavras chave relacionadas com quaisquer tem ticas que se pretende bloquear Silva Alberto e Romao 2003 afirmam que muitas organiza es recorrem a esse tipo de servi os para garantir que os seus colaboradores n o ocupam o seu tempo de trabalho a aceder a conte dos que nada tem a ver com atividade profissional Por outras palavras
80. mento dos diversos riscos que amea am a Empresa pode ser auxiliada pela produ o de um mapa de riscos ou seja pela representa o dos riscos num gr fico bidimensional em fun o da sua frequ ncia de concretiza o num dos eixos e impacto no outro eixo 21 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA A partir do mapa de risco assim criado ser poss vel implementar uma estrat gia para a seguran a ordenando os riscos por prioridade e identificando o controlo adequado a cada um pela aplica o de regras baseadas nas reas do mapa Exemplo na figura 1 s o representadas duas estrat gias distintas baseadas em mapas de risco muito Q4 Q3 alto E PAR ae 3 m dio Q1 Q2 g pod Pra Impacto Impacto Figura 1 Regras Baseadas no Mapa de risco Fonte Silva Carvalho e Torres 2003 A estrat gia indicada no mapa do lado esquerdo corresponde prioridade conferida aos controlos pela rea correspondente ao grau de risco de muito alto at baixo risco A estrat gia representada no mapa do lado direito define uma abordagem ao risco evas o redu o aceita o ou transfer ncia em fun o do quadrante do mapa em que este se encontre gt QI Aceita o gt Q2 Transfer ncia por exemplo seguro gt Q3 Redu o da frequ ncia e impacto do risco gt Q4 Evas o redu o da frequ ncia de concretiza o do risco 22 Seguran a dos Sistema de Informa o
81. mitar grandemente a capacidade de reten o dos backups Na sequ ncia desse incidente a pol tica de backups foi adaptada s condi es tecnol gicas existentes tendo passado a ser realizado temporariamente para um disco externo e da seguinte forma di rio com reten o de uma semana De forma a otimizar a rela o custo benef cio a Inpharma est a definir uma pol tica de backups e adquirir solu es que a possam implementar de forma adequada face s necessidades efetivas da organiza o Neste sentido sugerimos que necess rio definir uma pol tica de backup amp restore de acordo com as necessidades da Inpharma e reestruturar a atual plataforma tecnol gica com 82 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA necessidade de investimento para a implementa o adequada Entretanto e no imediato dever ser reformulado o plano de backup amp restore de forma aumentar a reten o por exemplo com a altern ncia de backups totais com backups diferenciais Ser necess rio tamb m que a camada de gest o da Inpharma define o n vel de criticidade e capacidade de salvaguarda de cada ativo identificado Este processo dever ter como objectivo o estabelecimento da pol tica de seguran a a n vel de c pias de seguran a recupera o a desastre e continuidade de neg cio da Inpharma 8 Medidas de Seguran a do Sl na INPHARMA O objetivo deste ponto conhecer algumas medidas de S
82. n vel para eventuais necessidades As falhas nos equipamentos devem ser registadas em lugar espec fico para tal para uma mais r pida resolu o de ocorridas ou suspeitadas e sobre todas as manuten es preventivas e corretivas Controles apropriados devem ser realizados quando se enviar equipamento para fora da organiza o para manuten o 96 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA gt Os equipamentos devem ser protegidos contra falhas de energia e outras anomalias na alimenta o el trica utilizando se para al m de UPS tamb m geradores evitando a indisponibilidade dos servi os gt Dever existir monitoriza o das condi es ambientais prote o contra humidade calor poeira ou outro fator que possa causar dano nos equipamentos nas salas onde se encontram recursos tecnol gicos particularmente nos que guardam informa es cr ticas gt A utiliza o dos equipamentos fora das instala es da organiza o dever carecer de autoriza o superior coordena o com os respons veis pela gest o dos sistemas de informa o e salvaguarda da informa o em causa gt As instru es dos fabricantes para prote o dos equipamentos devem ser sempre observadas por exemplo prote o contra exposi o a campos eletromagn ticos intensos gt Equipamentos e m dias retirados do pr dio da organiza o n o devem ser deixados desacompanhados em locais p blicos Em
83. n Detection Systems usando unicamente softwares Open Source Dispon vel em 101 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA http www seginfo com br sistemas de deteccao de intrusoes ids intrusion detection systems usando unicamente softwares open source Consultado a 23 de Maio de 2014 Silva M A Alberto N R 2003 Comercio Eletr nico na Internet LIDEL Lisboa Silva F Q 1999 Seguran a de Dados Dispon vel em http www aedb br seget artigos 11 32614346 pdf Consultado em 24 de Junho de 2014 Silva P T Carvalho H Torres C B 2003 Seguran a dos Sistemas de Informa o Gest o Estrat gica da Seguran a Empresarial Centro Atl ntico Lisboa Sim es J 2004 Seguran a de Sistemas Inform ticos Sousa B L 2006 TCP IP B sico Conectividade em Redes Dados 3 edi o Spancesci F R 2004 Pol tica de Seguran a da Informa o Desenvolvimento de um Modelo voltado para institui es de ensino Dispon vel em http www mlaureano org aulas material orientacoes2 ist 2004 francini politicas pdf Consultado a 19 de Junho de 2014 102 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Anexo A 1 Declara o de Confidencialidade INPHARMA JE o Revis o n Cpharma DECLARA O DE Ea CONFIDENCIALIDADE rindo a qualidade na sa de Data 04 02 2013 o DECLARA O DE CONFIDENCIALIDADE Eu portador a do Bilhete de Identida
84. npharma verificam regularmente todos os sistemas e eventuais tentativas de acesso n o autorizado aos mesmos Qualquer tentativa de acesso n o autorizado investigada Nenhum dispositivo perif rico m quinas fotogr ficas digitais PDAs etc pode ser instalado ou configurado em qualquer computador da Inpharma exceto pelo Administrador do Sistema de Informa o com autoriza o dos Gestores de topo Dire o Executiva A Inpharma faz o controlo de todos os acessos feitos pelos colaboradores a paginas Web e reserva o direito de tornar p blico o relat rio desta informa o N o ser permitido manter arquivos pessoais tais como fotos arquivos de m sica ou v deos nas pastas de partilha de ficheiros corporativos e grupos de trabalho Exemplo arquivos mp3 avi wmv E obrigat rio armazenar os arquivos inerentes institui o no servidor de arquivos para garantir o backup dos mesmos N o permitida a utiliza o de servi os de streaming tais como r dios on line youtube e afins Os utilizadores n o devem visitar paginas de Web que exibam conte dos de natureza pornogr fica ou que contenham material que possa ser considerado ofensivo 84 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA gt Deve se evitar executar ou abrir mensagens com arquivos anexados enviados por remetentes desconhecidos ou suspeitos que de alguma forma podem perturbar o normal funcionamento das
85. ntende se neste dom nio por vulnerabilidade o atributo de qualquer situa o a partir da qual terceiros podem penetrar num SI informatizado sem qualquer autoriza o no sentido de tirar proveito do seu conte do ou das suas caracter sticas nomeadamente configura o e alcance Mas para Oliveira 2000 a seguran a a restri o dos recursos de um microcomputador ou de uma rede onde por es desta rede para outros utilizadores ou computadores Seguran a n o mais do que a gest o de tal restri o A seguran a da informa o a prote o da informa o contra v rios tipos de amea as de forma a assegurar a continuidade do neg cio minimizando danos comerciais e maximizando o retorno sobre investimentos e oportunidades de neg cios ABNT 2005 Para Carneiro 2002 a seguran a dos sistemas de informa o define se como um conjunto de medidas e procedimentos que t m por finalidade evitar que a informa o seja destru da alterada ou acedida incidental ou intencionalmente de uma forma n o autorizada De acordo com Sim es 2004 A seguran a de um sistema de informa o pode ser entendida como um conjunto de medidas que visam a prote o desse sistema contra amea as que afetem a confidencialidade integridade e disponibilidade da informa o processada Beal 2005 afirma que a Seguran a da Informa o consiste em garantir que a informa o existente em qualquer formato
86. ntes ou mesmo quando estiverem em tr nsito No caso dos servidores o atacante procura ganhar acesso atrav s da explora o de eventuais falhas como mecanismos de controlo de acesso inadequados erros de programa o etc Utilizadores autorizados podem igualmente revelar informa es aos n o autorizados Do lado dos clientes os dados est o sujeitos revela o quando por exemplo estiverem em sistemas operativos inseguros ou executarem aplica es obtidas na Internet Quando em tr nsito os dados podem ser observados atrav s de roteamento err neo escutas telef nicas etc Aplica es e redes n o protegidas s o vulner veis a todo tipo de amea as Contudo quando estiverem convenientemente protegidas est o apenas sujeitos s amea as de utilizadores autorizados c Modifica o e Segundo Mamede 2006 a integridade pode ser entendida como a dete o de altera es como sejam adi es ao conte do elimina o parcial ou qualquer outra modifica o Dispon vel http bdigital unipiaget cv 8080 jspui handle 10964 241 Consultado em 20 de Abril de 2014 16 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA por pessoas n o autorizadas a faz lo Como pode se entender a integridade permite evitar a modifica o de dados por pessoas n o autorizados Silva Carvalho e Torres 2003 afirmam que qualquer que seja a modifica o ou erro que ocorra sobre os dados or
87. nto e implementa o do Plano Global de Seguran a o respons vel por esta poder optar por um acompanhamento das medidas implementadas atrav s de testes ou auditorias regulares seguran a Poder deste modo ter uma imagem mais real das consequ ncias dos mecanismos adotados e adequar a introdu o de novas solu es a estes resultados Por outro lado a obrigatoriedade deste tipo de auditorias regulares pode ser um requisito da pr pria organiza o Mas segundo o autor referido idem ibidem a decis o de realizar um teste ou uma auditoria aos sistemas bem como a altura adequada para a sua execu o dependem das circunst ncias espec ficas da Empresa bem como do or amento dispon vel Segundo Rosa 2004 testes e auditorias aos sistemas de informa o s o importantes para que se possa determinar o grau de prote o do sistema e determinar as a es a serem implementadas para aumentar os n veis de seguran a Dever o ser realizados regularmente Contudo aconselh vel a sua realiza o a t tulo extraordin rio aquando da nomea o de um 56 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA novo respons vel pela SSI ou ap s a implementa o de novas medidas de seguran a Entre os aspetos que dever o ser considerados aquando da realiza o destes testes destacam se gt Auditoria completa dos sistemas an lise exaustiva de todo sistema inform tico da institui o tanto
88. o devem ser tomadas com os crit rios estabelecidos na primeira etapa do processo de Gest o do Risco Destaca se que as defini es do contexto devem ser revistas periodicamente gt Tratamento dos Riscos A an lise e avalia o dos riscos resultam numa lista ordenada de riscos de acordo com a sua prioridade Esta lista serve de base ao tratamento do risco que depende de uma decis o estrat gica 1 Redu o do Risco decis es que visam reduzir a probabilidade e as consequ ncias negativas atrav s da ado o de controlos e a es ISO Guia 73 ABNT 2009 2 Reten o do Risco aceita o do nus da perda ou do benef cio do ganho associado a um determinado risco ISO Guia 73 ABNT 2009 3 Evitar o Risco decis o tomada visando o n o envolvimento ou a retirada da situa o de risco ISO Guia 73 ABNT 2009 4 Transfer ncia do Risco compartilhamento com outra entidade do nus da perda ou do benef cio do ganho associado a um risco ISO Guia 73 ABNT 2009 gt Aceita o dos Riscos A aceita o a etapa em que h o registo formal devidamente justificado da aceita o dos riscos residuais existentes na organiza o com a rela o de responsabilidades dos gestores gt Comunica o 2 z Seguran a responsabilidade de todos da organiza o Por isso importante que a comunica o esteja presente em todo o processo de gest o de riscos para maior efetividade do
89. on vel em http seginfoatual blogspot com 2013 12 a importancia dos back ups html Consultado a 23de Maio 2014 49 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA pp A c pia de seguran a da gera o av tipicamente a que mais tempo retido enquanto o filho constitui normalmente um backup de rota o r pida Exemplo A gt C pia de seguran a av backup completo dos sistemas realizado na ltima sexta feira de cada m s e retido durante trinta dias ou mais gt C pia de seguran a pai backup completo dos sistemas realizado todas as sextas feiras e retido durante quinze dias gt C pia de seguran a filho backup completo de todos os sistemas realizado diariamente e retido durante sete dias De acordo com Ribeiro 2009 h diversos m todos para realizar uma c pia secund ria 12 dentre elas destacam se gt C pia de seguran a total O m todo de backup total tem a pretens o de copiar os documentos selecionados e armazen los em um ambiente seguro esse m todo muito seguro e eficaz no caso de uma c pia de seguran a vier a dar problema a c pia anterior a ela ser restaurada e assim futuramente diante caso a falha continue a persistir No entanto esse modo de backup muito lento e requer uma enorme capacidade de armazenamento isso devido a cada backup que for realizado o ultimo backup n o ser excluso gt C
90. ontinuidade de neg cio face a desastres HI Identifica o de controlos A defini o das medidas que dever o ser implementadas para aumentar a seguran a do sistema de informa o dever ser feita ap s o levantamento da situa o organizacional em termos de risco Portanto o passo seguinte na an lise de risco e de impacto dever ser a identifica o e sele o dos mecanismos que permitem reduzir o efeito da amea a ou danos decorrentes da sua concretiza o A identifica o dos controlos passa necessariamente pela defini o de uma arquitetura para a seguran a do sistema de informa o assente numa estrat gia global contribuindo assim para o aumento da maturidade da seguran a do SI A identifica o de controlo dever ainda levar em considera o uma abordagem espec fica para o controlo de riscos Uma possibilidade por exemplo a ordena o dos riscos por prioridade e correspondente identifica o do controlo adequado para cada um IV Analise dos controlos Uma vez conhecida a situa o da Empresa em termos de riscos chegado o momento de definir as medidas que dever o ser postas em pr tica para aumentar a sua seguran a O passo seguinte identifica o a an lise dos controlos ou seja dos processos ou dispositivos que permitam reduzir o efeito da amea a ou os danos decorrentes da sua concretiza o Segundo Silva Carvalho e Torres 2003 a sele o do tipo de controlo apropriado ao trata
91. ores pr ticas do mercado orientado pelos controlos t cnicos da norma ISO IEC 27002 2005 que rege os padr es internacionais da SI A seguran a dos sistemas de informa o abrange n o s a parte l gica da organiza o mas tamb m a parte f sica Assim segundo a ISO IEC 27002 2005 as organiza es seus sistemas de informa o e redes de computadores s o expostos a diversos tipos de amea as seguran a da informa o incluindo fraudes eletr nicas espionagem sabotagem vandalismo roubo inc ndio e inunda o entre muitos outros O presente estudo de caso visa essencialmente demonstrar que os problemas acima citados podem ser atacados atrav s de solu es de t cnicas mas o seu alcance limitado pelo quem devem ser tamb m apoiada e refor ada por procedimentos e pol ticas apropriadas e suportadas pela gest o de topo 71 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Ser o abordadas situa es pr ticas sobre a SSI da Inpharma baseada nas melhores pr ticas do mercado Portanto pretende se mostrar o qu o importante a implementa o de pr ticas de seguran a da informa o nas organiza es 2 Apresenta o da INPHARMA Os Laborat rios INPHARMA Ind stria Farmac utica SA foi criado a 7 de Janeiro de 1991 E uma empresa de capital maioritariamente privado cujo principal objetivo consiste na produ o comercializa o e exporta o de medicamentos podendo dedicar se t
92. orma ID Presence Plataforma de Mail Relay Externo plataforma de rece o e filtragem de correio eletr nico Dom nio Corporativo Inpharma base de dados sistema operativo ficheiros aplicacionais microsft active directory Tabela 4 Activos de tecnologias e sistemas de informa o da Inpharma Segundo o administrador de sistema de informa o existem um total de 6 servidores a funcionarem 24 horas por dia cuja fun es s o 1 SRVGES um servidor WSUS Windows Server Update Service ou seja servi os de atualiza es para todos os servidores e postos de trabalho baseados em Windows Adicionalmente tamb m a consola de gest o e updates para o antiv rus TrendMicro 78 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA 2 SRVPROXY um servidor proxy web Faz cache de todos os acessos s p ginas Web para minimizar a largura de banda Adicionalmente faz filtragem de conte dos 3 SRVERP o servidor que possui o software ERP Sistema Integrado de Gest o Empresarial desenvolvida para integrar os diversos departamentos da empresa possibilitando a automa o e armazenamento de todas as informa es de neg cios 4 SRVDC o servidor de controlador de dom nio principal e com outras fun es de DNS Server Radius Server File Server um servidor de dom nio e mail e arquivos compartilhados 5 SRVFIREWALL um servidor para controlar todos os acessos
93. os em conta os regulamentos e normas de sa de e seguran a aplic veis gt As instala es chave devem ser localizadas de maneira a evitar o acesso do p blico gt Disporem de uma nica entrada para o centro de dados gt Estarem isoladas de calor e poeira gt Aus ncia de interfer ncias eletromagn ticas gt Inexist ncia de acentuado n vel de polui o atmosf rica gt As salas onde se instalam os equipamentos dever o ter teto falsos para permitir a passagem dos cabos de energia e de liga o bem como a instala o de condutas e sa das para o ar condicionado gt Os edif cios sejam discretos e deem a menor indica o poss vel da sua finalidade sem letreiros evidentes fora ou dentro do edif cio que identifiquem a presen a de atividades de processamento de informa es quando for aplic vel 4 2 Seguran a do Pessoal Na seguran a do pessoal o objetivo garantir que todos os utilizadores conhe am as suas responsabilidades e esteja aptos a desempenhar suas fun es al m de reduzir o risco de roubo fraude e mau uso de recursos As responsabilidades de seguran a devem ser definidas antes da contrata o com a descri o adequada do trabalho e suas condi es Todas as pessoas devem ser selecionados adequadamente especialmente para trabalhos sens veis com 35 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA acesso a informa es Todos os utilizadores devem assinar um acordo sob
94. os pretende analisar quantitativa e qualitativamente e avaliar o risco gt An lise do Risco A an lise do risco dividida nas etapas de identifica o do risco e estimativa do risco gt Identifica o do Risco A identifica o do risco visa verificar os fatores diretamente relacionados a ele tais como o ativo as amea as os controlos as vulnerabilidades e consequ ncia gt Identifica o de Ativos necess rio identificar os ativos da organiza o com n vel de detalhes suficiente para uma futura avalia o Nesta etapa tamb m s o mapeadas algumas carater sticas destes ativos como fun es localiza o e respons veis gt Identifica o de Amea as Neste momento faz se o mapeamento das amea as inerentes a cada um dos ativos estudados na etapa anterior juntamente com suas fontes internas e externas e suas especificidades quanto origem e ao tipo gt Identifica o dos controlos existentes 24 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Para cada risco h uma forma de evit lo Por m controlos ineficientes podem causar mais vulnerabilidades aumentando a tend ncia ao risco Por isso os controlos devem ser mapeados e testados a fim de identificar sua efetividade Ap s a identifica o do controlo deve se planej lo Ressalta se que um mesmo controlo pode ser aplicado para diferentes riscos gt Identifica o de vulnerabilidade E nec
95. ossossesocsossesocssssoseossssossossesoe 59 E E Oe ASTE AEN E si E E E E da 59 Di Planovde Contingencia morior id 60 2 Plano de Recuperan n SIERRA AROS OSS ada N 62 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA 1 3 Plangde Reposici ia sta ad EI TRI D cai T 63 1 4 Pol tica de Seguran a nises seno semp assita gen ON ASA EEEE E sa ETR EEEE E E 64 1 5 Normas DES COMPANCA pa danada fes Ed E RASA GO eg 6 Ga SE 67 1 6 Procedimentos innsinn aaa En aE ESAN Ea aasia 70 Cap tulo 3 O Caso INPHARMA seessessoeseesseccoesccsseesoesocsscesoesocsscesoeecossocsceecoesocssessoesocsseesoesoe 71 I E d adfamento nrn e E E Ea EE aK EE eaaa 71 2 Apresenta o da INPHARMA ssssssesessesssesesesessseessressereseresseeessressresseesseeesseeesseesseessee 12 3 4 Miss o Visao Valores naana a a a TEE 74 Sed EE e S E EE E add pas Cada Saba aad 14 DD Visa Ou e sg e aei e r dad E a a da SORA Ca a es aaa a 14 3 3 ValOTES ss sesiisgesia da poseas E a ENEE SASAE EE EEA E di questa EES 75 Es tr t r Orsaniz ci nal reee e a E E A A a 76 De E AniS ERIA D O ST E E AER 11 0 Arg itetura de Rede E a o O a E 79 T _ Backup amp R stauro sean a T T 81 8 Medidas de Seguran a do SI na INPHARMA nn rrerrreaaa 83 9 Amalise dos ReEsulAdOS e A ON a i 85 Sal cSeruran a Fisica As a sa O E E a 86 9 2 Seguran a com Recursos Humanos asrssa aaa iai sedEacassoseRdCnDASgadasa aa qudg dado dead arca qab ins 88 933 Segur
96. page 4 amp mod id 2 consultado a 29 de Abril de 2014 75 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA 4 Estrutura Organizacional A estrutura da Inpharma compreende os seguintes rg os como demonstra a figura 13 8 Figura 13 Organograma da INPHARMA Fonte INPHARMA 2014 O Conselho de Administra o N o Executivo composto pelo Presidente e 2 Administradores A Dire o Executiva constitu da por 4 Diretores das principais Dire es 76 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA infra referidas Sendo assim a empresa possui um total de 62 Colaboradores distribu dos pelas seguintes reas Industrial e Garantia de Qualidade Comercial Financeira e ainda Laborat rio e Controlo de Qualidade Segundo a Respons vel pelo Gabinete de Recursos Humanos a Inpharma possui um n mero de utilizadores superior a 35 Entretanto o n mero de t cnicos especializados integrados nas equipas de SI inferior a 2 Assim sendo a Inpharma subcontratam todo suporte ao SI a empresas especializadas E interessante constatar que a totalidade ou as mais importantes fun es organizacionais s o suportadas pelo SI 5 Infraestrutura das TIC Neste cap tulo procurou se saber como composto os activos de tecnologias e sistemas de informa o da Inpharma De acordo com o administrador de sistema de informa o ao n vel das TIC s e SI a Inpharma possui diverso
97. pera es vi Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Existe controlos contra c digos maliciosos 1 3 1 Prote o contra Malware E efetuado regularmente atualiza es de controlos contra c digos maliciosos As c pias de seguran a s o efetuadas regularmente conforme a 1 3 2 Backup pol tica de backup As informa es podem ser restauradas em adequada autoriza o O log de auditoria contendo atividades do utilizador e outros eventos de seguran a de informa o s o mantidos por um per odo de tempo de modo auxiliar futuras investiga es Uso do sistema de monitora o As informa es de log s o protegidas contra falsifica o e acesso n o 1 3 3 Loging e monitoramento autorizado As actividades do administrador e operadores de registo s o a registadas As falhas de registro s o registadas e analisadas 4 Os rel gios de todos os sistemas de processamento de informa o relevante est o sincronizados com uma fonte de tempo precisa J acordada vii
98. pia de seguran a incremental Consiste em um backup que registra somente os arquivos que foram modificados desde o ltimo backup e ir acrescent los ao ultimo procedimento esse tipo de backup requer uma 2 Dispon vel em lt http www aedb br seget artigos1 1 32614346 pdf gt Consultado em 24 de Junho de 2014 50 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA pequena quantidade de mem ria contudo a sua restaura o a mais lenta dentre os modos transitados gt C pia de seguran a diferencial O modo de c pia de seguran a diferencial tem como objetivo copiar os documentos inalterados do computador o grande m rito desse m todo que a realiza o do backup feita de forma r pida e eficiente mas esse sistema muito vulner vel a falhas isso pode ser explicado caso a organiza o n o tenham c pias dos arquivos inalterados esse sistema de backup se tornar ineficaz Dependendo do prazo de reten o das c pias de seguran a dever ent o ser delineado um esquema de armazenamento onsite e off site como forma de garantir a seguran a e disponibilidade dos suportes A ABNT 2005 recomenda que o backup dos sistemas seja armazenado em outro local o mais longe poss vel do ambiente atual como em outro pr dio Nesse sentido a salvaguarda regular das informa es armazenadas em meio seguro fulcral para a recupera o das fun es da empresa em caso de falhas como tamb
99. que de seguida se apresentam 4 1 1 Equipamentos Os equipamentos inform ticos s o um dos recursos que exigem maiores cuidados de seguran a visto que nela que circulam os fluxos de dados e informa es da organiza o Carneiro 2002 Para a ABNT 2005 o objetivo do item seguran a de equipamentos impedir perdas danos furto ou comprometimento de ativos e interrup o das atividades da organiza o 32 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA De acordo com Carneiro 2002 atualmente os equipamentos s o altamente complexos e s algumas pessoas com forma o t cnica conhecem em pormenor a estrutura e a configura o t cnica dos equipamentos o que pode ser uma fonte de deteriora o caso n o forem tomadas medidas como por exemplo gt O acesso deve ser restringido ao pessoal t cnicos e utilizadores que tenha uma forma o b sica capaz de criar uma consci ncia profissional sobre o valor dos equipamentos enquanto ativo empresarial gt N o deve ser permitida a entrada no SI de pessoas n o autorizadas nomeadamente na utiliza o de terminais gt Tamb m periodicamente deve ser monitorada o estado de conserva o e de limpeza de todos os equipamentos das suas interliga es Segundo a ABNT 2005 importante que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de amea as e perigos do meio ambiente bem como as oportunidades
100. r a qualquer desastre ou falha importantes que afetem recursos ou servi os essenciais Segundo Carneiro 2002 a elabora o de um plano de seguran a global exige que sejam tidos em conta os seguintes aspetos gt Sensibilizar todos os executivos da organiza o sobre as quest es de seguran a dos SI gt Analisar e diagnosticar a situa o atual no que respeita aos riscos e a seguran a dos SI a n vel de software hardware e recursos humanos gt Elaborar um plano para um programa de seguran a o qual deve comtemplar os seguintes aspetos gt O plano de seguran a destina se a garantir a integridade e exatid o dos dados gt Possibilitar a identifica o da informa o que tida por confidencial gt Considerar as reas que se destinem a algum uso exclusivo gt Proteger a conserva o de todos os ativos de desastres provocados por enganos ou por atos hostis e deliberados gt Garantir que a organiza o possa sobreviver a desastres gt Evitar que os rg os de gest o sejam acusados de neglig ncia ou imprud ncia 1 1 Plano de Conting ncia O Plano de Conting ncia destina se a assegurar a continuidade das atividades cr ticas da organiza o entre o acidente e a retoma do pleno funcionamento das atividades incluindo todos os procedimentos de emerg ncia descri o das equipas que os executa informa o 60 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA facilitadora da
101. re suas fun es e responsabilidades relacionadas com a seguran a ABNT 2005 Um documento formal com as pol ticas normas e procedimentos dever ser divulgado de forma clara a todos os utilizadores Como tamb m dever o ser dados a conhecer a todos os utilizadores condutas especificando as boas pr ticas na utiliza o dos recursos dispon veis e estabelecendo balizas de comportamento s pessoas no que diz respeito a quest es de seguran a 4 2 1 Recrutamento e Mudan a de Contrata o Segundo a ABNT 2005 o principal objetivo durante o recrutamento assegurar que todas as pessoas estejam conscientes das amea as e preocupa es relativas seguran a da informa o suas responsabilidades e obriga es e est o preparados para apoiar na pol tica de seguran a da informa o da organiza o durante os seus trabalhos normais e para reduzir o risco de erro humano Para Mamede 2006 o processo de recrutamento do funcion rio para uma organiza o exige um background para que a organiza o n o possa correr o risco de contratar pessoas com registo criminal inform tico ou atitudes incorretas O autor defende ainda que quando recrutado um novo funcion rio para a organiza o deve estar definido o que tem de ser criado a n vel de sistema para que este possa ter acesso aos equipamentos inform ticos Antes do emprego as responsabilidades de seguran a devem ser levados em conta no recrutamento de funcion rios pe
102. reparo dos usu rios Exemplos propaga o de v rus e spam 17 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA 3 An lise de Risco Uma an lise de risco define se como sendo um processo de avaliar em que medida que um determinado contexto que inclu amea as vulnerabilidades e o valor a proteger ou n o aceit vel para uma organiza o Segundo Carneiro 2002 uma an lise de risco muito mais do que avaliar a possibilidade de ocorrerem eventos negativos Interessa fazer uma avalia o econ mica do impacto destes eventos Esse valor poder ser utilizado para comparar com o custo da prote o da informa o em an lise Al m disso necess rio analisar a probabilidade de ocorr ncia dessas situa es e consider las na elabora o de um plano de a o adequado A an lise de risco inclui a aproxima o sistem tica de estimar a dimens o e impacto de riscos inerentes seguran a da informa o na organiza o assim como o processo de compara o entre os riscos estimados face ao crit rio de determina o do impacto dos mesmos na organiza o Ela um dos aspetos chave da norma ISO IEC 27001 uma avalia o dos riscos uma das exig ncias desta norma Como resultado da avalia o de riscos deve ser feita uma lista dos riscos identificados classificados em ordem de gravidade para posteriormente serem tomadas medidas Segundo a norma ABNT 2005 a avalia o dos riscos identifi
103. rmanentes contratados e agentes tempor rios por exemplo atrav s de descri es de trabalho adequados pr triagem emprego e inclu dos em contratos por exemplo os termos e condi es de emprego e de outros acordos assinados sobre os pap is e responsabilidades de seguran a 5 Dispon vel em http www iso2700 l security com html 27002 html Consultado em 10 de Junho de 2014 36 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Durante o emprego os gestores devem garantir que todos os funcion rios estejam cientes e motivados para cumprirem com as suas obriga es de seguran a da informa o Um processo disciplinar formal necess rio para lidar com viola es de seguran a de informa o ABNT 2005 Como parte das suas obriga es contratuais os funcion rios e outros terceiros devem concordar e assinar os termos e condi es de sua contrata o para o trabalho os quais devem declarar as suas responsabilidade e da organiza o para a seguran a da informa o A dire o dever exigir a todos os utilizadores que utilizem os recursos de acordo com o estabelecido nas pol ticas e procedimentos da organiza o Todos os funcion rios devem devolver todos os ativos da organiza o que estejam em sua posse ap s a cessa o das suas atividades do contrato ou acordo Os direitos de acesso de todos os utilizadores s informa es e aos recursos de processamento da informa
104. rup es causadas por falhas das utilidades Nesse sentido recomenda se o uso de UPS para suportar as paradas e desligamento dos equipamentos ou para manter o funcionamento cont nuo dos equipamentos que suportam opera es cr ticas dos neg cios 4 1 2 Instala es A localiza o de um centro de inform tica e a estrutura das instala es deve respeitar um conjunto de requisitos f sicos e ambientais indispens veis ao seu bom funcionamento Uma rea de seguran a pode ser um escrit rio fechado ou diversas salas dentro de um per metro de seguran a f sica que podem estar fechadas ou podem conter arm rios fechados ou cofres Conv m que a sele o e o projeto de uma rea de seguran a levem em considera o as possibilidades de dano causado por inunda es explos es manifesta es civis e outras formas de desastres naturais ou causados pelo homem Conv m que tamb m sejam levados em considera o as regulamenta es e padr es de seguran a Tamb m devem tratar qualquer amea a originada em propriedades vizinhas como por exemplo vazamento de gua de outras reas Salgado Bandeira e Silva 2004 34 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Segundo a ABNT 2005 deve ser projetada e aplicada seguran a f sica para escrit rios salas e instala es As seguintes diretrizes devem ser levadas em considera o para proteger escrit rios salas e instala es gt Devem ser levad
105. s activos de tecnologias e sistemas de informa o na qual ser o apresentados na tabela 3 Activos de Tecnologias e Sistemas de Informa o Nome Marca Quantidade Servidores HP Asus 6 Desktops Dell Toshiba Tsunami HP 21 Port teis Toshiba HP 5 Impressoras e Brother HP Epson Konica Minolta 10 Digitalizadores 8 Fonte http teste inpharma cv uploads Manual de Acolhimento png Consultado a 09 de Junho de 2014 71 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Descri o dos Ativos da TI Plataforma de C pias de Seguran a Disco USB Tapes Estrutura de Comunica es amp Ativos de Rede Routers Access Points e Switches Energia Alternativa Redundante Gerador de Energia El trica Datacenter Arm rios Ar condicionado Sala e UPS s Servi os externos de website Institucional Website Corporativo Plataforma de Seguran a de Per metro Firewall Sistema Operativo Configura es e Ficheiro Plataforma de Controlo de Acessos Web Proxy Sistema Operativo Configura es e Ficheiro Partilha de Ficheiros Corporativos e Grupos de Trabalho Partilha de Ficheiros de Laborat rio Plataforma de Correio Eletr nico Plataforma Aplicacional Labway e Innovway base de dados configura es ficheiros Plataforma de Gest o Documental Plataforma de ERP Primavera Plataforma ERP Open ERP Plataf
106. s que poder o estar em perigo As amea as podem ser identificadas tanto atrav s da produ o de diversos cen rios como atrav s da cria o listas tipificadas concretizadas em rvores nas quais os ramos correspondem aos tipos de amea as e as folhas correspondem s amea as propiamente ditas Para que se possa fazer o c lculo probabil stico da concretiza o das amea as identificadas importante fazer se a identifica o das vulnerabilidades semelhan a do que se verifica no processo de levantamento das amea as a identifica o das vulnerabilidades pode ser efetuada atrav s de rvores tipol gicas em que os ramos correspondem aos tipos de vulnerabilidades e as folhas correspondem s vulnerabilidades propriamente ditas A identifica o dos bens necess ria na an lise quantitativa de risco em que o mesmo medido pelo impacto II An lise de risco e impacto Pontos fortes pontos fracos oportunidades e amea as 20 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Ap s a identifica o das amea as vulnerabilidades e bens pode passar se fase da caracteriza o dos riscos pela quantifica o ou qualifica o da probabilidade das amea as gerarem danos Deve se igualmente efetuar uma an lise sobre o impacto no neg cio identificando as atividades criticas para a sobreviv ncia da empresa em caso de desastre Esta an lise poder servir igualmente para a cria o do plano de c
107. sa de p blica aliada melhoria permanente e capacita o para a internacionaliza o sustentada numa perspetiva E i P i Aa 1 de desenvolvimento da ind stria farmac utica local 6 3 2 Vis o Para atender e acompanhar as altera es num mundo da globaliza o a empresa industrial projetou sua vis o como gt Moderniza o e capacita o empresarial gt Qualidade e capacita o org nica gt Desenvolvimento dos recursos humanos visando uma maior produtividade atrav s de gt Forma o gt Acesso informa o gt Incentivo para um melhor desempenho gt Demonstra o da qualidade sistema de certifica o e acredita o gt Pol tica comercial pr ativa gt Amplia o e moderniza o da unidade fabril gt Desenvolvimento tecnol gico 16 Fonte http teste inpharma cv index php mod module amp page 4 amp mod id 2 consultado a 29 de Abril de 2014 74 gt gt 3 3 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Desenvolvimento da gama de produtos Internacionaliza o seletiva Valores A Inpharma pauta as suas atividades tendo em vista os seguintes pontos gt gt Rigor Qualidade Satisfa o dos clientes Satisfa o dos colaboradores tica Esp rito de Equipa Cumplicidade Figura 12 Miss o Vis o Valores da INPHARMA Fonte INPHARMA 2014 Fonte http teste inpharma cv index php mod module amp
108. se dos resultados da Seguran a Logica que foi realizado de forma agrupada 85 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA e baseada na se o dos controlos de acesso e da se o dos controlos de gest o de opera es da norma As checklist est o divididas em 3 tabelas apresentadas nos ap ndices I Il e II E os resultados obtidos da checklist s o apresentados nos pontos abaixo 9 1 Seguran a F sica A Seguran a F sica tem como objetivo prevenir o acesso f sico n o autorizado danos e interfer ncias nas instala es e informa es Impedir perdas danos furto ou roubo comprometimento de ativos e interrup o das atividades da organiza o ABNT NBR ISO IEC27002 2005 S o apresentadas na tabela que se segue os resultados da an lise de risco efetuado tendo em considera o a checklist proposta para verifica o da Seguran a F sica e do Ambiente baseado na norma ABNT NBR ISO IEC 27002 como demonstra o Ap ndice I Vulnerabilidade Impacto Solu o Possibilidade de intrus o no Perdas danos roubo Refor ar os muros de forma a per metro f sico da empresa comprometimento de ativos e impedir o acesso n o atrav s das falhas do muro interrup o das atividades da autorizado de pessoas inexistente organiza o Utiliza o de equipamento Perdas danos roubo Dever ser implementado inform tico fora das comprometimento de ativos e uma pol
109. seresssrresrrressrreesen 29 Ad Seguranca FISICA sas ais no a a OC A T 29 A aA O EQUIPAMENTOS saci A A E E E E A 32 AMZ Instala es nn inn n a a RG a eE a aiat 34 4 2 Seguranca do PESSOA catando S S Dean US RES 35 4 2 1 Recrutamento e Mudan a de Contrata o sssssessseesseesseesseessseessseessresseessee 36 AD Sensibiliza o e FORMA O cus e n Ps assis R Gas fd can SAE 37 4 3 Seouran Lofia ise inn a E ARS E a a aaa 38 4 3 1 Autentica o e Controlo de ACesSSO sssessesssesesesessseessresseesseesseeeesseessresseessee 39 Ada Redundancia sssini teriris ita En E E EREE di aa a EEEa ioia 40 43 3 Criptografia DOSES PANE RI PR DRE RO e a NR ER aSa 41 434 Assinatura Dicital usspsansieripanisaaits pedais a LRC SARAU GORE a i iaat 45 43S SOLAR A 16 PSA RIR NR GR RE AS RR pr AR Qi SR ARRENDAR 46 436 Filtragem de Conte dos sspasassassacmasasansisapes onssacado a saaRia sa asas siso sa e apacaava etea e 47 4 3 7 Salvaguarda da IPORA O us fordiss iutalsaaato Efe amabliada Sopa GO Eolni mesada Fahcs poa a dada ques ga 47 43 8 Detec o de IntriS ES copsasiagasagaiasisalaaa adaga eias INAC G ELAS Rus IA SANTA SEa a EERE na ira 51 4 3 9 Resposta di alAQUES e cais ques nona ads n ESSA US AG IT ESES 53 AA Lestes e Auditofias pesaitis sapata pesa densa gasta eiii nonis abade ATEEN ER Vad papa EESE 55 S s rancafaceaddesastie eee e a E i A E E 57 Cap tulo 2 Plano Global de Seguran a sessossescssoesesocsossesoossss
110. so a informa o uso de sistema de monitora o a inclus o em contratos dos termos e condi es de emprego e responsabilidade de seguran a a aplica o de um processo disciplinar para lidar com viola es de seguran a de informa o a obriga o de retornar os ativos ap s a cessa o das fun es e ainda realiza o de testes e auditorias internas para avaliar o n vel de prote o Nesse sentido isto permite concluir que o n vel de seguran a da INPHARMA atinge um patamar satisfat rio apesar que ainda existem medidas que carecem de melhorias tais como a implementa o de uma pol tica de mesa limpa e prote o de informa o confidencial e bloqueio autom tico de ecr ap s um per odo de inatividade a implementa o de uma pol tica de utiliza o dos equipamentos fora das instala es da organiza o e ainda o desenvolvimento de um plano de recupera o das fun es cr ticas em caso de desastres estabelecer medidas alternativas de 98 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA recupera o a desastre e continuidade de neg cio para os ativos de maior criticidade para o neg cio da INPHARMA Foi not rio que independentemente das medidas preventivas tecnol gicas ou processos implementados na organiza o garantido que existir uma falha de seguran a algures no tempo Assim fundamental uma r pida dete o e resposta ao eventual incidente valorizando a componente d
111. ssamento de informa o O f sica cont m arm rios fechados ou cofres trancadas Existem registo de entradas e sa das de pessoas na sala dos servidores y Seguran a em O servi o de processamento de informa o protegido contra escrit rios salas e desastres incendio causados pelo homem 1 1 3 Ea j instala es de H al ald dada cii processamento alguma amea a potencial de propriedades vizinhas p 7 Existe algum controle de seguran a para prestadores de servi o ou Trabalhando em reas Spr A A 1 1 4 Senra funcion rios trabalhando em rea de seguran a A informa o s deve 8 ser fornecida quando necess rio As reas de expedi o e carga e de processamento de informa o s o LIS Isolamento das reas isoladas uma da outra para evitar acesso n o autorizado de expedi o e cargas Foi realizada uma avalia o de risco para determinar a seguran a de tais reas 1 2 Seguran a dos Equipamentos Os equipamentos s o instalados em local apropriado para minimizar A acesso n o autorizado rea de trabalho Se os Jens que requerem prote o especial foram isolados para amp reduzir o n vel geral de prote o exigida z a Os controlos foram adotados para minimizar o risco de amea as Instala o e prote o o as k 1 2 1 dos equipamentos potenciais como roubo fogo explos o gua poeira vibra o x interfer ncia no fornecimento de energia radia o eletromagn tica inun
112. sso manifesta se agradecido a todas essas pessoas mas considera se pertinente particularizar as seguintes Ao meu orientador Eng Stefan Monteiro por estimular o meu interesse pelo conhecimento pela vida acad mica e participa o ativa no desenvolvimento desta pesquisa Ao meu amigo Fernando Monteiro pelo acompanhamento e apoio nesta jornada dando sempre sugest es e corre es bem como pelas suas ideias ent o demonstradas Deixei para o fim a todos uma nica palavra Obrigado Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Conte do Infrodu O ssa aesto sor iniebiadoraosdsa Eli raca cdt oral csevtrss bodek oossoo sss sss os cosets s oeseri oses o Da aanda cus Pidab rodada 7 Justitica o do Lena casisatas ps Denis SOC QUE IO E E STS ARR 9 Objetivo Geral ceseimacasastiasaaa ene rea E E EEA E LoL assada sara ERA ETETEN EEEE 9 Objetivos Especificos Aui a e a sii es dd 9 Metodologia nn enan onn nna T AU A OS DSG Asa E 10 Estrut ra d trabalho esags i a a ds ad T E 10 Cap tulo 1 Seguran a dos Sistema de Informa o e eessesesoosssscssossesossossesocsossossossesossossesoe 12 1 Conceito de Seguran a do Sistema de Informa o r 12 2 Amea as Spore n s AS Ga Ce A RL a SG ARE nad 14 F An lise de RISCO as O E A ER AE ERa AEA USE 18 vi ESIstema os Gest o dE RISCO aa n E E E E E E RE 23 4 reas da Seguran a da Informa o s ssssessesesesseeeessteeestieesrieesress
113. st o em uso ou devem ser protegidos por bloqueios senhas e afins O sistema de bloqueio de ecr deve estar protegido com palavra passe e deve estar configurado para que o bloqueio surja de forma autom tica e ap s alguns minutos entre cinco a dez minutos de inatividade Informa es sens veis ou confidenciais quando impressas n o podem ser esquecidas nas impressoras devem ser retiradas assim que impressas Caso os procedimentos ou normas aqui estabelecidos sejam violados a dire o da Inpharma se reserva o direito de aplicar as puni es cab veis aos utilizadores respons veis pela viola o da pol tica 93 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA importante que ap s a dete o de viola o das normas de seguran a estabelecidas na pol tica de seguran a deve determinar se a viola o foi causada de forma intencional ou n o Aos utilizadores que de forma intencional violarem as regras de pol tica de seguran a ficam automaticamente bloqueado o acesso ao sistema da organiza o e ser o aplicadas as seguintes san es advert ncia escrita e em ltimo caso a demiss o Por outro lado aos utilizadores que de forma n o intencional desrespeitarem as normas de seguran a estabelecidas nesta pol tica de seguran a ser o aplicadas as seguintes san es advert ncia verbal comunicando a norma que foi violada e em ltimo caso ser bloqueado o acesso ao sistema da organi
114. stemas de Informa o SSI Seguran a de Sistema de Informa o TI Tecnologias de Informa o TIC Tecnologias de Informa o e Comunica o UPS Uninterruptible Power Supply URL Uniform Resource Locator VPN Virtual Private Network 3DES Triple Data Encryption Standard Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Introdu o As necessidades e exig ncias associadas realidade empresarial do mercado atual implica que a plataforma de Tecnologias e Sistemas de Informa o garantam ndices de seguran a a n vel da confidencialidade disponibilidade e integridade extremamente elevados Nesse sentido e independentemente da dimens o ou rea de neg cio das empresas existe um fator comum e fundamental para o sucesso de qualquer organiza o que sustente o seu core business sobre Sistemas de Informa o a garantia de seguran a da informa o qualidade e estabilidade dessa mesma plataforma tecnol gica Os incidentes de seguran a da informa o v m aumentando consideravelmente ao longo dos ltimos anos e assumem as formas mais variadas como por exemplo infe o por v rus acesso n o autorizado ataques DoS contra redes e sistemas furto de informa o propriet ria invas o de sistemas fraudes internas e externas uso n o autorizado de redes sem fio entre outras Seguran a dos Sistema de Informa
115. to e controlo do cumprimento das quest es relacionadas com a seguran a da informa o Constata se tamb m que existe a possibilidade de contratar pessoas inadequadas a fun o Nesse sentido ser necess rio efetuar uma an lise cuidadosa dos curr culos do perfil e personalidade e ainda antecedentes criminais pelo RH como forma de evitar a possibilidade de contratar pessoas inadequadas a fun o De modo a n o por em causa a seguran a do mesmo as medidas de gest o de recursos humanos carecem dessas melhorias 9 3 Seguran a Logica A Seguran a Logica tem como objetivo garantir a opera o segura e correta dos recursos de processamento da informa o implementar e manter o n vel apropriado de seguran a da informa o garantir a prote o das informa es em rede e da infraestrutura de suporte prevenir a divulga o n o autorizada modifica o remo o ou destrui o dos ativos e interrup es das atividades do neg cio como tamb m controlar o acesso informa o e de utilizadores autorizados prevenir acesso n o autorizado a sistemas e garantir a seguran a da informa o quando se utilizam os recursos de ambiente de trabalho remoto ABNT 2005 Na tabela que se segue ser o apresentados os resultados da an lise de risco efetuado tendo em considera o a checklist proposto para verifica o da Seguran a Logica baseado na norma ABNT NBR ISO IEC 27002 como demonstra o ap ndice III 90 Seguran
116. to r pidos mas existe problema de necessidade de um canal seguro para enviar a chave secreta uma vez que existe o risco de a pessoa que descobrir a chave secreta conseguir decriptografar a mensagem A Figura 5 apresenta a criptografia sim trica ilustrando a chave nica nas opera es 42 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Solu es Solu es amp S 041 1Q redes de redes de dados e voz dados e voz E Texto cifrado 5 T ivina Encripta o Decripta o exto origin Figura 5 Criptografia Sim trica com uso de uma nica Chave adaptado de Moraes 2010 Os principais algoritmos de criptografia usados na criptografia sim trica s o gt RC2 128 bits gt 3DES gt AES Para Mamede 2006 um dos algoritmos utilizados na criptografia sim trica o DES Para Silva Carvalho e Torres 2003 o DES utilizado como standard para prote o da informa o desde 1981 surge depois o 3DES composto por tr s opera es sequenciais de cifra utilizando o DES ou seja para proporcionar maior seguran a e aumentar o n vel de prote o da informa o aplica o DES tr s vezes utilizando chaves diferentes 4 3 3 2 Criptografia Assim trica Conforme Moraes 2010 a Criptografia Assim trica foi criado em 1976 por Whitfield Diffie e Martin Hellman esse modo de criptografia baseia se na utiliza o de duas chaves sendo uma mantida secreta enquanto outra pode ser divulga
117. ula o ou a acompanham em simult neo Sensibiliza o e An lise de Risco forem corretamente desenvolvida Ferreira e Alves 1995 1 5 Normas de Seguran a Segundo Rosa 2004 normas de seguran a s o documentos composto por todas as regras de seguran a da organiza o concretizando de forma detalhada as orienta es da pol tica de seguran a Neste documento s o especificadas as tecnologias utilizadas e a forma segura de utiliza o A norma ABNT NBR ISO IEC 27002 2005 estabelece diretrizes e princ pios gerais para iniciar implementar manter e melhorar a gest o de seguran a da informa o em uma organiza o Serve como um guia pr tico para desenvolver os procedimentos e as eficientes pr ticas de gest o de seguran a da informa o ABNT 2005 A norma cont m 11 se es disponibilizadas em 39 categorias principais que se desdobram em 133 controles Os objetivos de controlos definem o que deve ser alcan ado em cada categoria descrita nas se es de 5 a 15 Com isso a mesma divide se em 1 Objetivo Estabelece as diretrizes e princ pios gerais para iniciar implementar manter e melhorar a gest o de seguran a da informa o em uma organiza o 2 Temos e defini es Define os diversos termos citados na norma 3 Estrutura desta Norma Enumera as se es constantes na norma 67 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA 4 An lise A valia o e Tratamento de
118. ura 14 Arquitetura de rede INPHARMA Fonte INPHARMA 2013 A rede corporativa agrega todos os sistemas internos que suportam as aplica es e servi os de apoio ao neg cio nomeadamente servidores aplicacionais servidores de corporativos e equipamentos de rede cablada e sem fios 80 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA c O segmento de rede visitas destinado a utilizadores tempor rios ou convidados e constitu da por uma infraestrutura wireless A rede p blica o segmento de rede que est em contacto com a rede Internet e sobre a qual s o desenvolvidos servi os corporativos como o caso do correio eletr nico e o acesso remoto rede interna 7 Backup amp Restauro O objetivo conhecer o procedimento de como se efetua o processo de backup Deste modo procurou se saber como efetuado o processo de backup De acordo com o administrador de sistema de informa o o processo de backup esta dividido em tr s componentes gt Backups diferenciais di rios Est o agendados para todas as segundas ter as quartas e quintas s 23 00h gt Backup completo semanal Est agendado para todas as sextas s 23 00h gt Backup completo mensal Est agendado para todas as ltimas sextas de cada m s s 23 00h De salientar que gt Os backups diferenciais apenas contempla as modifica es dos arquivos que foram alterados desde que foi efetuado um backup
119. utro lado aos utilizadores que de forma n o intencional desrespeitarem as normas de seguran a estabelecidas nesta 95 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA pol tica de seguran a ser o aplicadas as seguintes san es advert ncia verbal comunicando a norma que foi violada e em ltimo caso ser bloqueado o acesso ao sistema da organiza o 12 Proposta de Pol tica de Manuten o e Utiliza o dos Equipamentos Devido a inexist ncia de uma pol tica de seguran a de manuten o e utiliza o de equipamentos na INPHARMA a proposta vai no sentido de apresentar uma politica baseada na norma ISO IEC 17799 A pol tica de Manuten o e Utiliza o de Equipamentos tem como objetivo impedir perda danos ou comprometimento de ativos e interrup o das atividades do neg cio para assegurar sua disponibilidade e integridade continuadas ISO 17799 Os seguintes controlos devem ser considerados gt gt Os utilizadores devem estar informados sobre a correta utiliza o dos equipamentos Os equipamentos devem passar por manuten o de acordo com os intervalos e especifica es de servi o recomendados pelo fornecedor Apenas pessoal autorizado de manuten o deve executar os reparos e a manuten o nos equipamentos O suporte s poder o ser prestados por t cnicos especializados na rea dever existir uma equipa t cnica interna ou prestadora de servi os dispo
120. va 1999 destaca que para se por em pr tica uma c pia de seguran a preciso que a organiza o siga algumas etapas gt Escolha dos dados Os arquivos que v o ser copiados devem possuir proced ncia confi vel ou seja n o serem infetados pois quando a restaura o for estabelecida pode trazer uma s rie de problemas para o computador gt M dia utilizada H in meras formas para realizar um procedimento de c pia de seguran a a mesma pode ser efetuada por meios da utiliza o de CD Blue Ray HD fitas magn ticas e entre outras variadas m dias que o backup pode ser realizado A escolha de qual m dia vai ser utilizada depende do que est sendo armazenada a quantidade de informa es que est o sendo armazenados os n veis de confiabilidade que essa c pia deve possuir ou seja para a escolha de um dado para realizar a c pia de seguran a preciso que a camada de gest o defina o que pretendem armazenar gt Local de armazenamento 1 Dispon vel em lt http www aedb br seget artigos1 1 32614346 pdf gt Consultado em 24 de Junho de 2014 48 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA As c pias devem ser guardadas em um ambiente restrito e diferente do local que foi efetuado a c pia por forma a diminuir as possibilidades de perdas de todos os dados em caso de desastre Segundo Back 2013 o processo de backup deve levar em conta as necessidades de recupera o de neg
121. viagens os computadores port teis devem ser transportados como bagagem pessoal e disfar ados onde poss vel Caso os procedimentos ou normas aqui estabelecidos sejam violados a dire o da Inpharma se reserva o direito de aplicar as puni es cab veis aos utilizadores respons veis pela viola o da pol tica Aos utilizadores que de forma intencional violarem as regras de pol tica de seguran a ficam automaticamente bloqueado o acesso ao sistema da organiza o e ser o aplicadas as seguintes san es advert ncia escrita e em ltimo caso a demiss o Por outro lado aos utilizadores que de forma n o intencional desrespeitarem as normas de seguran a estabelecidas nesta pol tica de seguran a ser o aplicadas as seguintes san es advert ncia verbal comunicando a norma que foi violada e em ltimo caso ser bloqueado o acesso ao sistema da organiza o 97 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA Conclus o O presente trabalho leva nos a concluir que de uma forma geral a INPHARMA aplicam a maioria das medidas de seguran a de Sistemas de Informa o como a exist ncia de controlos de entrada para permitir somente a entrada de pessoal autorizado exist ncia de per metro de seguran a videovigil ncia alarme utiliza o de sistemas de firewall realiza o de c pias de seguran a regulares utiliza o de controlos contra c digos maliciosos antiv rus restri o de aces
122. za o 11 Proposta de Politica de Sensibiliza o e Forma o Tendo em considera o a inexist ncia de uma pol tica de sensibiliza o e forma o na Inpharma a proposta vai no sentido de apresentar uma politica baseada na norma da ISO IEC 17799 A pol tica de Sensibiliza o e Forma o tem como objetivo assegurar que os utilizadores se conscientizem das preocupa es e amea as seguran a das informa es e minimizar os danos resultantes de incidentes de seguran a e mal funcionamentos e monitorar e aprender com tais incidentes ISO 17799 Esta pol tica aplica se a todos os utilizadores que t m acesso a qualquer sistema ou tecnologia de informa o que perten a ou seja manipulado na Inpharma sendo eles funcion rios estagi rios prestadores de servi os ou terceiros devidamente autorizados Os seguintes controlos devem ser considerados gt Os funcion rios devem comprometer atrav s de um documento escrito e aprovada pela camada de gest o a preservar o sigilo das informa es da organiza o 94 Seguran a dos Sistema de Informa o Estudo de Caso INPHARMA gt Todos os utilizadores dos recursos tecnol gicos da organiza o dever o receber a es de forma o sensibiliza o nos procedimentos de seguran a e no uso correto dos equipamentos gt Todos os utilizadores devem estar conscientes da possibilidade de ocorr ncia de incidentes como amea as falhas que possam ter imp
123. zada uma nica chave para cifrar e decifrar a mensagem O emissor codifica a mensagem utilizando um algoritmo conhecido e uma chave secreta e envia ao receber o recetor descodifica a mensagem com a mesma chave secreta conforme afirmam Monteiro e Boavida 2000 Nesse caso segundo Mamede 2006 se a chave for quebrada num dos extremos toda a mensagem fica comprometida e muitas vezes o outro extremo pode n o se aperceber que a mensagem est comprometida recomend vel que a mensagem e as chaves sejam transmitidas usando canais de comunica o diferentes Este mesmo autor idem ibidem afirma que n o obstante a sua velocidade que permite cifrar grandes quantidades de informa o apresenta como principal limita o o problema da gest o das chaves que pode ser desdobrada nos seguintes pontos gt Seachave perdida todo o canal fica comprometido gt Conv m mudar frequentemente de chave para evitar o comprometimento da mesma gt A distribui o das chaves cr tica pois se houver algum comprometimento das chaves no momento em que as mesmas s o distribu das todas as mensagens que utilizarem essas chaves podem ser decifradas por quem o intercetou gt S o necess rias v rias chaves aumentando o risco e a probabilidade da ocorr ncia de fuga de informa o Conforme Moraes 2010 os algoritmos de chave sim trica tanto o emissor como o recetor da mensagem devem possuir a mesma chave Esses algoritmos s o mui

Download Pdf Manuals

Related Search

Related Contents

Samsung PL51 manual de utilizador  Falmec Quasar Top  「取扱説明書」 AHU2-063シリーズ    HP PROCURVE 6120 User's Manual  Philips SAA7785 User's Manual  Aqua - Xylazel  User Manual  Modo de empleo: MICRO DAP  LogiLink Fast Ethernet Camera  

Copyright © All rights reserved. Failed to retrieve file