Documente Academic
Documente Profesional
Documente Cultură
Anlise de Segurana Fsica em Conformidade com a Norma ABNT NBR ISO/IEC 17799
BRASLIA 2004
Anlise de Segurana Fsica em Conformidade com a Norma ABNT NBR ISO/IEC 17799
Monografia apresentada como requisito parcial, para a concluso do curso de Tecnologia em Segurana da Informao.
BRASLIA 2004
Anlise de Segurana Fsica em Conformidade com a Norma ABNT NBR ISO/IEC 17799
Monografia apresentada como requisito parcial, para a concluso do curso de Tecnologia em Segurana da Informao.
Aprovada por:
_________________________________________ Prof. Reinaldo Mangialardo
_________________________________________ Prof.
_________________________________________ Prof.
BRASLIA 2004
DEDICATRIA
Ivan Jorge Chueri Salgado: Ao meu filho Rodrigo, que, com apenas 10 anos de idade, teve maturidade, sabedoria e respeito aos limites impostos pelas necessidades acadmicas e desenvolvimento humano.
Ronaldo Bandeira: A meus pais e minha namorada, pela pacincia, dando-me todo o apoio necessrio concluso desta obra.
Rivanildo Sanches da Silva: Dedico este trabalho aos meus pais e minha famlia, que sempre me apoiaram e estiveram ao meu lado em todos os momentos e principalmente a Deus que me deu a oportunidade de viver todos estes instantes de minha vida.
AGRADECIMENTOS
Ivan Jorge Chueri Salgado: Ana Maria Azevedo, pelo incentivo na minha retomada aos estudos e pela pacincia diante das dificuldades impostas pela falta de ateno e dedicao famlia, e tambm, ao meu amigo Ronaldo que dividiu grande parte das incertezas e dos momentos mais brilhantes desta obra.
Ronaldo Bandeira: Ao meu amigo Ivan, pela grande contribuio do seu conhecimento a esta obra, e pelo seu empenho.
Rivanildo Sanches da Silva: A Deus, aos nossos amigos que contriburam para realizao deste trabalho, aos professores Reinaldo Mangialardo e professora Paula pelo apoio e dedicao.
LISTA DE ABREVIATURAS
ABNT Associao Brasileira de Normas Tcnicas BS British Standard (Padro Britnico) CFTV Circuito Fechado de TV CPD Centro de Processamento de Dados CPU - Unidade Central de Processamento IEC - International Electrotechnical Commission (Comisso Eletrotcnica Internacional) ISO International Organization for Standardization (Organizao Internacional de Padronizao) NFPA National Fire Protection Association (Associao Nacional de Proteo Contra Fogo) PCN Plano de Continuidade de Negcio PIN - Personal identification number (Nmero de identificao individual) UPS Uninterruptable Power Supply (Suprimento Ininterrupto de Energia)
SUMRIO
1 INTRODUO ........................................................................................................... 11 1.1 Justificativa .............................................................................................................. 17 1.2 Objetivos.................................................................................................................. 20 1.3 Escopo do Projeto..................................................................................................... 22 1.3.1 Descrio das reas envolvidas ............................................................................. 22 1.4 ESTRUTURA ORGANIZACIONAL ...................................................................... 24 1.5 RECURSOS DO PROJETO ..................................................................................... 26 1.6 REFERENCIAL TERICO ..................................................................................... 26 1.7 METODOLOGIA .................................................................................................... 27 2 SEGURANA E SEUS COMPONENTES .................................................................. 31 2.1 Poltica de segurana ................................................................................................ 43 2.2 Segurana organizacional ......................................................................................... 45 2.2.1 Infra-estrutura da segurana da informao........................................................... 45 2.2.2 Segurana no acesso de prestadores de servios.................................................... 49 2.3 Classificao e controle dos ativos de informao .................................................... 51 2.4 Segurana em pessoas .............................................................................................. 53 2.5 Segurana fsica e do ambiente................................................................................. 58 2.5.1 reas de segurana ............................................................................................... 60 2.5.2 Segurana dos equipamentos ................................................................................ 67 2.5.3 Controles gerais.................................................................................................... 74 2.6 Conformidade .......................................................................................................... 76 2.6.1 Conformidade com requisitos legais ..................................................................... 76 2.7 Anlise da poltica de segurana e da conformidade tcnica ..................................... 80 2.8 Mecanismos e dispositivos de segurana .................................................................. 82 2.8.1 Infra-Estrutura do Data Center ............................................................................. 82 2.8.2 Acesso ao CPD..................................................................................................... 86 3 ESTUDO DE CASO .................................................................................................... 92 3.1 Poltica de segurana ................................................................................................ 92 3.1.1 Situao Atual em Relao Poltica de Segurana .............................................. 92 3.1.1.1 Comit Gestor ...................................................................................................... 92 3.1.2 Recomendaes quanto Poltica de Segurana.................................................... 93 3.1.3 Plano de Ao ...................................................................................................... 95 3.2 Segurana organizacional ......................................................................................... 98 3.2.1 Responsabilidades do Comit de Segurana.......................................................... 99 3.2.2 Coordenao do Comit de Segurana na ELECTRA ......................................... 100 3.2.3 Situao Atual em relao Segurana Organizacional ...................................... 102 3.2.4 Recomendaes quanto Segurana Organizacional da ELECTRA ................... 104 3.2.5 Plano de Ao .................................................................................................... 106 3.3 Classificao e controle dos ativos de informao .................................................. 112 3.3.1 Classificao das informaes ............................................................................ 115 3.3.2 Recomendaes sobre os Ativos e Classificao das informaes....................... 119 3.3.3 Plano de Ao .................................................................................................... 119 3.4 Segurana em pessoas ............................................................................................ 124 3.4.1 Terceirizao...................................................................................................... 127 3.4.2 Fatores humanos................................................................................................. 129
3.4.3 Situao atual em relao Segurana em Pessoas/Fatores Humanos ................. 135 3.4.4 Recomendaes em relao Segurana em Pessoas .......................................... 136 3.4.5 Plano de Ao .................................................................................................... 139 3.5 Segurana fsica e do ambiente............................................................................... 148 3.5.1 Segurana em equipamentos............................................................................... 155 3.5.2 Suprimento de energia eltrica............................................................................ 158 3.5.3 Manuteno dos equipamentos ........................................................................... 161 3.5.4 Diretrizes de proteo......................................................................................... 164 3.5.5 Situao atual do Data Center em relao Segurana Fsica............................. 165 3.5.6 Recomendaes de Segurana Fsica do Data Center ......................................... 177 3.5.6.1 Recomendaes especficas da ELECTRA .......................................................... 177 3.5.6.2 Recomendaes especficas do Data Center ....................................................... 179 3.5.7 Plano de Ao .................................................................................................... 191 3.6 Conformidade ........................................................................................................ 214 3.6.1 Preservao dos registros da ELECTRA ............................................................. 216 3.6.2 Situao atual em relao Conformidade.......................................................... 220 3.6.3 Recomendaes sobre a conformidade................................................................ 223 3.6.4 Plano de Ao .................................................................................................... 224 3.7 Plano de Ao Geral (Todos os Mdulos Analisados)............................................. 226 4 ANLISE DE RESULTADOS .................................................................................. 229 5 CONCLUSO ........................................................................................................... 230 6 REFERNCIAS BIBLIOGRFICAS ........................................................................ 232 APNDICE A ................................................................................................................... 234 APNDICE B.................................................................................................................... 239 APNDICE C.................................................................................................................... 251 APNDICE D ................................................................................................................... 307 ANEXO A ......................................................................................................................... 312 ANEXO B ......................................................................................................................... 322 GLOSSRIO..................................................................................................................... 323
LISTA DE FIGURAS
Figura 1 - Evoluo da Norma BS 17799 ............................................................................. 12 Figura 2 - Principais ameaas segurana da informao..................................................... 14 Figura 3 - Principais pontos de invaso ................................................................................ 15 Figura 4 - Principais medidas de segurana j implementadas .............................................. 15 Figura 5 - Organograma Geral da ELECTRA....................................................................... 22 Figura 6 - Ciclo da Segurana da Informao ....................................................................... 39 Figura 7 - Layout atual do piso da garagem ........................................................................ 235 Figura 8 - Layout atual do piso do Data Center.................................................................. 235 Figura 9 - Layout atual do pavimento trreo ....................................................................... 236 Figura 10 - Layout atual do pavimento tipo ........................................................................ 236 Figura 11`- Sugesto de layout para o 2o. Sub-solo - Garagem........................................... 237 Figura 12 - Sugesto de layout para o 1o. Sub-solo ............................................................ 237 Figura 13 - Sugesto de layout para o pavimento Trreo .................................................... 238 Figura 14 - Sugesto de layout para o pavimento Tipo ....................................................... 238
LISTA DE TABELAS
RESUMO
Segurana um termo que transmite conforto e tranqilidade a quem desfruta de seu estado. O produto segurana difcil de ser obtido quando se fala em segurana de informaes, dispostas na forma fsica (em papel), eletrnica (nos meios de transmisso ou de armazenamento) e nas pessoas. Buscar uma segurana absoluta o objetivo maior. Entretanto, implica em controlar todas as variveis que integram esse universo, tornando isto praticamente impossvel. Os caminhos que possibilitam alcanar o objetivo de tornar algo seguro resultam de esforos da comunidade, composta por entidades pblicas e privadas em todo o mundo, que estabeleceram um documento que padroniza, atravs de recomendaes, uma boa gesto da segurana. Este documento deu origem BS 7799-1995, que foi instituda no Brasil pela ABNT Associao Brasileira de Normas Tcnicas atravs da ISO/IEC 17799-2000. A segurana da informao estruturada por diversos componentes, entre eles a segurana fsica. A segurana fsica auxilia e contribui essencialmente para a segurana de informaes, e sem ela os esforos para o estabelecimento de um ambiente lgico seguro seriam perdidos.
Palavras-chave: Segurana Fsica, ISO/IEC 17799, Poltica de segurana, Segurana Organizacional, Classificao e Controle dos Ativos, Segurana em Pessoas, Segurana Fsica e do Ambiente, Conformidade, Controle de Acesso, Riscos, Data Center, Sala-cofre, Integridade, Confidencialidade, Disponibilidade e Legalidade.
ABSTRACT
Security is a word which transmits a sense of comfort and peace to everyone. The product Security is much harder to obtain when it comes to Information. In this case, there is a huge variety of products which comes in a diversity of forms: Physical security (paper), electronic security (data transmissions and storage) and even people security. To seek absolute security is a major goal, but it implies in controlling each and every variable that integrate this universe; something practically impossible to accomplish. The paths that make this major goal possible to achieve are a result of joint efforts, both public and private throughout the world, which established a document whose purpose is to standardize good security procedures. This document origined the BS 7799-1995, established in Brazil by ABNT Associao Brasileira de Normas Tcnicas through the ISO/IES 17799-2000. The safety of the information is structured by several components. One of them, physical security, aids specifically the information security aspect. Without it, efforts to stabelish a safe data environment would be worthless.
Keywords: Physical Security, ISO/IEC 17799, Security Policy, Security Organization, Asset Classification and Control, Personnel Security, Physical and Environmental Security, Compliance, Access Control, Risks, Data Center, IT Security Room, Integrity, Confidentiality and legality.
11
INTRODUO
A segurana da informao um bem diretamente relacionado aos negcios de uma organizao. Seu principal objetivo garantir o funcionamento da organizao frente s possibilidades de incidentes, evitando prejuzos, aumentando a produtividade, provendo maior qualidade aos clientes e vantagens em relao aos seus competidores evidenciando a reputao da organizao. A informao pode ser encontrada sob diversas formas: escrita, eletrnica e impressa. Podem ser transmitidas por diferentes canais como e-mail, correio, filmes, falada, rdio, TV etc. Seja qual for sua forma de existncia ou modo pelo qual transmitida a informao deve ser protegida. Segundo Moreira (2001, p.2):
[...] tecnologias e avanos tm colocado muitas empresas em uma posio delicada em alguns casos. Problemas de origem interna e externa tm marcado presena no dia-a-dia, principalmente nas Organizaes que no possuem Polticas de Segurana implementadas.
A comunidade internacional composta por entidades governamentais, e at mesmo privadas, preocupadas com esta questo da segurana, iniciou, ainda de forma isolada, propostas para tratar o assunto, principalmente nos 12 ltimos anos com a criao, em 1995, da norma como a BS 17799-1 e evoluda para a verso BS 17799 12 em 1999, que passou a ser padro mundial seguido pelas empresas e governos. Surgiu ento a norma NBR ISO/IEC 17799 em 2000, vigorando a partir de setembro deste mesmo ano. A figura abaixo mostra a evoluo.
12
Quando se fala em proteger um bem ou ativo de informao significa que este possui um valor para o seu proprietrio. Os ativos de informao podem ser: Servios: processamento de dados, comunicao e fornecimento de energia; Sistemas computadorizados: aplicativos, sistemas bsicos, ferramentas de desenvolvimento; Equipamentos: computadores, equipamentos de comunicao de dados, mdias (fitas e discos), equipamentos de fornecimento de energia alternativa, cofres; Documentos: contratos, demonstraes financeiras;
13
Pessoas: funcionrios, terceiros e clientes; Imagem e reputao da organizao; Informaes: arquivos, bancos de dados, documentao de sistemas, material de treinamento, procedimentos, Plano de Continuidade dos Negcios, relatrios, telas, mdias, mensagens eletrnicas, registros de dados, arquivos de dados.
Edificaes: edifcios, lojas, indstrias, depsitos, containeres, silos, centrais geradoras, linhas de distribuio, torres, etc.
Para alcanar os objetivos propostos, a norma prev a preservao de trs componentes bsicos que so: Confidencialidade; Integridade; Disponibilidade.
A segurana fsica um dos principais componentes da segurana da informao, sem a qual todo o esforo despendido na proteo lgica torna-se ineficaz, pois haveria grande possibilidade de que um incidente, incndio, roubo, sabotagem, interrupo do fornecimento de energia, problemas com climatizao, inundao, interrupo no abastecimento de gua etc, pudessem ocorrer comprometendo a continuidade do negcio a partir da no preservao dos trs componentes bsicos citados acima.
14
Alm desses pode-se citar a Legalidade como outro componente que visa o enquadramento da organizao no mbito legal, sendo abrangido por leis federais, estaduais, municipais e a poltica de segurana da organizao. Segundo Dias (2000, p.107):
A falta de controles ambientais adequados pode provocar danos aos equipamentos, causados por desastre natural, picos de energia, descarga eltrica de um raio, temperaturas extremas ou eletricidade esttica. Pode ainda ocorrer perda de dados devido s falhas ou falta de fornecimento de energia. A indisponibilidade dos sistemas computacionais pode acarretar problemas econmicos e perda de competitividade da empresa no mercado.
Estatsticas
Algumas estatsticas sero apresentadas para um melhor entendimento sobre a importncia da segurana fsica no contexto da segurana da informao e esto baseados na 9a Pesquisa de Segurana da Informao Mdulo (2003) conforme abaixo:
15
As Falhas na Segurana Fsica foram apontadas por 37% dos entrevistados como uma das principais ameaas, mostrando que atualmente a Segurana Fsica faz parte da preocupao do Security Officer.
A invaso Fsica corresponde a 6% dos principais pontos de invaso, mostrando que a Segurana Fsica to importante quanto a lgica, pois quando indevidamente implementada, ocasiona vulnerabilidades a empresas.
16
A Segurana Fsica na Sala de Servidores corresponde a 63% das medidas de segurana j implementadas. A tendncia que a implementao da Segurana Fsica na Sala de Servidores ganhe mais posies neste ranking nos prximos anos.
Definio
O assunto abordado sobre a Segurana Fsica, pois esta relegada ao segundo escalo da Segurana da Informao.
Delimitao
Este projeto tem como objetivo abordar um estudo e uma anlise de Segurana Fsica em conformidade com a Norma ISO/IEC 17799. Sero esclarecidos, em mbito geral, conceitos necessrios para que uma empresa consiga alcanar o mais alto nvel de Segurana Fsica, atendendo a situaes dos mais diversos gneros com polticas especificas de atualizao tecnolgica, Poltica de Segurana da Informao e acompanhando as tendncias do mercado.
Esclarecimentos
A organizao analisada receber o nome fictcio de ELECTRA a pedido de sua direo para preservar sua integridade e imagem junto a seus clientes e fornecedores. Este trabalho no visa certificar a empresa analisada com a Certificao BS 7799. O objetivo apenas fazer uma avaliao de Segurana Fsica, diminuindo, ao mximo, a possibilidade de ocorrncia de um incidente de Segurana Fsica.
17
1.1 Justificativa
A proteo das informaes no pode se restringir apenas aos meios lgicos, mas deve contar com um ambiente fsico seguro. Conseguir um ambiente fsico seguro exige um estudo rigoroso e que considera os aspectos comportamentais e culturais das pessoas, as caractersticas fsicas do local, a poltica, as normas e procedimentos internos. Alm disso, devem ser considerados os agentes externos ao permetro da ELECTRA, considerando as suas vizinhanas mais prximas, compondo um sistema complexo. A inexistncia de uma poltica de
18
segurana no permite que se determinem as diretrizes, normas e os procedimentos que apiam as decises da alta gerncia. O principal motivo deste trabalho sugerir solues de segurana fsica para que os riscos existentes sejam fortemente diminudos, j que a situao atual da segurana delicada. Segundo a Mdulo Security (2004, www.modulo.com.br):
O Computer Emergency Response Team (CERT/CC), centro de pesquisas em segurana na Internet da Universidade de Carnegie Mellon, divulgou nesta semana as estatsticas dos incidentes de segurana registrados em 2003. O levantamento revela um aumento de cerca de 55 mil incidentes em relao aos nmeros obtidos em 2002. De acordo com o estudo, em 2003 foram registrados 137.529 ataques contra 82.094 em 2002. O CERT define "ataques" como tentativas (frustradas ou no) de entrar em locais no autorizados. Em relao s vulnerabilidades reportadas para o centro, o ano de 2003 apresentou uma queda no nmero de falhas de segurana se compararmos com os ndices de 2002 (o total caiu de 4.129 para 3.784). De 1988 at 2003, o centro de pesquisas j registrou um total de 319.992 incidentes de segurana.
Relevncia
Este projeto tem relevncia uma vez identificada a ausncia de manuteno evolutiva da poltica de segurana e tambm da segurana fsica, o que torna oportuno o estudo de alternativas para proteo fsica dos principais ativos como informaes, equipamentos e pessoas, em razo da sua respectiva importncia. Ainda pode-se salientar o baixo nvel de tolerncia a falhas, que no permite interrupes no planejadas no fornecimento do servio, j que seu SLA (Service Level Agreement acordo de nvel de servio) exige 99,999% de disponibilidade anual
(aproximadamente 5 minutos), controle ostensivo s salas de monitorao e controle dos servios vitais da ELECTRA.
19
20
Quando implementadas as medidas recomendadas espera-se uma reduo dos custos mensais com pessoal na ordem de R$ 30.000,00 por ms, correspondendo a 20 funcionrios, e uma reduo de 90% dos riscos de interrupo decorrentes de falhas da segurana fsica.
Segundo Moreira, (2001, p.120), No existem ambientes 100% seguros. Um nvel alto de proteo pode consumir grandes somas financeiras. Dessa forma, necessrio encontrar o equilbrio entre o nvel desejvel de segurana e o oramento disponvel..
1.2 Objetivos
Objetivo Geral
Executar uma anlise de conformidade com a norma ABNT NBR ISO/IEC 17799 voltada a Segurana Fsica, propondo solues para minimizar os riscos identificados1.
Objetivos Especficos
Identificar os mecanismos de controle dos acessos das pessoas s dependncias da ELECTRA; Identificar os fatores de layout que influenciam a segurana fsica das reas restritas;
Esta anlise no tem como objetivo certificar a ELECTRA em relao norma BS 7799.
21
Identificar os fatores que, decorrentes da ausncia ou da inadequada aplicao da poltica, normas e procedimentos que influenciam na segurana fsica;
Identificar os fatores ligados localizao geogrfica que interferem na segurana fsica da ELECTRA;
Identificar os fatores relacionados s ms instalaes hidrulicas, eltricas, gs, climatizao, preveno e combate a incndio, etc, que influenciam na segurana fsica da ELECTRA;
Identificar os fatores relacionados gerao, transporte e armazenamento fsico de informaes na ELECTRA, que interferem na segurana fsica;
Propor correes e melhorias aos controles, processos, poltica, comunicao interna, sinalizao de segurana, identificao dos funcionrios, terceirizados, equipamentos proprietrios e terceirizados, etc.
22
1.3
Escopo do Projeto
Estrutura organizacional
Presidente
Diretoria RH
Diretoria Tecnologia
Diretoria Comercial
Diretoria Financeira
Gerncia 1
Gerncia 2
Gerncia 3
Gerncia 4
Gerncia 5
O desenvolvimento deste projeto depende essencialmente do apoio de toda a ELECTRA, nos seus diferentes nveis hierrquicos, partindo-se da presidncia e se dirigindo a todas as camadas inferiores.
23
Hall de entrada dos elevadores social e de servio no piso da garagem situado no subsolo;
Acesso ao estacionamento interno de uso comum e carga/descarga; Hall de entrada dos elevadores social e de servio dos pavimentos; Entradas principais dos pavimentos; Pavimento da cobertura; Outros pavimentos estratgicos que contem equipamentos de controle e infra-estrutura;
Salas
estratgicas
como
servidores, ativos de rede e gerncia alm e das salas da alta administrao; Armrios, eletrocalhas, pisos elevados e quadros de luz, cabos de transmisso de energia e dados, telefonia etc; Condies gerais de iluminao, conservao e limpeza dos diversos pavimentos; Condies gerais dos equipamentos de combate a incndio como extintores, hidrantes, sprinklers (jatos de gua acionados
automaticamente em caso de incndio), detectores de fumaa, suas respectivas distribuies considerando os diversos tipos de materiais inflamveis; reas de acesso comuns aos andares;
24
Verificao de documentao exposta e sem controle; Inspeo da sala de controle, das cmeras existentes, catracas/portas, com controle de acesso por mecanismo de identificao pessoal e individual;
1.4
ESTRUTURA ORGANIZACIONAL
Modelo de Negcio
A organizao analisada receber o nome fictcio de ELECTRA a pedido de sua direo para preservar sua integridade e imagem junto a seus clientes e fornecedores. Seu modelo de negcio se baseia no provimento dos servios de abastecimento de energia eltrica. A ELECTRA a responsvel pela gesto do negcio em nvel nacional. A estrutura organizacional existende na ELECTRA robusta e hierarquizada, permitindo uma administrao mais eficiente e atendendo as melhores prticas na administrao empresarial. Faz parte desta estrutura hierrquica o presidente, diretores executivos, diretores adjuntos, gerncia e coordenaes.
25
Estrutura de Tecnologia
A ELECTRA possui uma estrutura robusta de processamento de dados em um Data Center central, acessados por redes locais Ethernet 100Mb e o backbone de 1Gb. Dentro desta estrutura existem 100 servidores plataforma Windows, 40 servidores plataforma Linux/Unix e um Mainframe. Na matriz, as estaes de trabalho esto distribudas em dois blocos de edifcios de 12 andares cada, As estaes encontram-se distribudas nesses blocos e totalizam cerca de 800 equipamentos. Existem sete filiais, cada uma com sua estrutura prpria de rede, mas convergindo suas conexes para a matriz, acessando o CPD central. Existe um backup site fora de uso, conectado ao CPD central. O nmero de estaes existentes nas filiais da ordem de 550 equipamentos sem considerar as impressoras e outros dispositivos inteligentes de controles de acesso fsico e alarme contra incndio.
26
1.5
RECURSOS DO PROJETO
Instalaes
Uma sala com dois computadores e uma impressora em rede com comunicao externa para Internet e servio de e-mail.
Softwares necessrios
Editor de textos, planilha de clculo, browser de apresentao.
Recursos humanos
Um engenheiro civil; Um engenheiro de segurana do trabalho;
1.6
REFERENCIAL TERICO
Para o desenvolvimento deste trabalho sero utilizadas: ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Cdigo de Prtica para a Gesto da Segurana da Informao. NBR ISO/IEC 17799:So Paulo,2001. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Critrios de Segurana Fsica Relativos ao Armazenamento de dados. NB 1334:1990.
27
DECRETO FEDERAL 3.505, de 13 DE JUNHO DE 2000. LEI 2.572, DE 20 DE JULHO DE 2000. PLANILHA DE LEVANTAMENTO DOS PONTOS RELAVANTES DE SEGURANA FSICA.
1.7
METODOLOGIA
Questionrio (APNDICE C)
Existe um questionrio para cada um dos mdulos da norma utilizados na anlise: Poltica de segurana Segurana organizacional Classificao e controle dos ativos de informao Segurana em pessoas Segurana fsica e do ambiente Cada mdulo dividido em itens em subitens.
28
Cada item avaliado recebe uma ponderao que foi acordada juntamente com a ELECTRA, sendo: 0 (zero) sem importncia; 2 (dois) mdia importncia; 5 (cinco) muito importante.
A situao atual de cada item classificada conforme o critrio abaixo, que foi acordado com a ELECTRA: No atende 0 (zero) Ausncia total 1 (um) Presena inexpressiva
O clculo feito item a item atravs do produto do peso do item por sua pontuao de presena. Os totais dos itens so somados para compor subtotal do ponto analisado. Estes subtotais so somados e faro a composio da aderncia geral do mdulo analisado. Os percentuais so calculados levando-se em conta os mximos pontos de cada item, que so totalizados conforme descrito acima.
29
Descrio dos campos da planilha: Valores de Referncia: Maior pontuao possvel, resultado da operao do produto dos mximos valores da situao e peso; Valores Apurados: o resultado do produto dos valores da situao e o peso onde estiver demarcado; Aderncia: Percentual de aderncia do mdulo, item e subitem. Legenda: Objetivo do item.
Metodologia da anlise
Anlise on-site: Fotos (APNDICE B): so tiradas fotos de pontos relevantes como vulnerabilidades, reas crticas, ambientes, todas as dependncias do Data Center e todos os andares do prdio, naquilo que poderia ser de interesse da anlise. Vistorias e levantamentos: So feitas vistorias nos ambientes para colher informaes relevantes. Entrevistas: So feitas entrevistas com diretores, gerentes e funcionrios (inclusive terceirizados). utilizado um questionrio (baseado na norma ISO/IEC 17799).
30
Situao Atual: apresentada a situao encontrada na empresa em relao a Segurana da Informao, levando-se em considerao o que pode ser mantido, o que pode ser aperfeioado e o que deve ser mudado. Recomendaes: So feitas recomendaes de melhorias na Segurana da Informao, de acordo com o verificado na situao atual. Plano de Ao: So recomendaes mais profundas visando melhorias na Segurana da Informao da empresa, que ajudam a orientar e determinar a atuao gerencial apropriada s prioridades para o gerenciamento dos riscos Segurana da Informao. Serve como auxlio na implementao de controles que oferecem proteo contra os riscos identificados. Observaes: A anlise baseada na Norma ISO/IEC 17799. A anlise atende ao Decreto Federal 3.505 e Lei 2.572 do GDF. O objetivo da metodologia identificar as necessidades de Segurana da Informao apropriadas para a empresa analisada.
31
Segurana da informao
O termo Segurana da Informao muito abrangente e requer uma definio para o seu correto entendimento, permitindo estabelecer o escopo do desenvolvimento desta obra. Segundo a NBR ISO/IEC 17799 (2000, p.1):
A informao um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao e conseqentemente necessita ser adequadamente protegida. A segurana da informao protege a informao de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio. A informao pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou atravs de meios eletrnicos, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente. A segurana da informao aqui caracterizada pela preservao de: a) confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso; b) integridade: salvaguarda da exatido e completeza da informao e dos mtodos de processamento; c) disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Segurana da informao obtida a partir da implementao de uma srie de controles, que podem ser polticas, prticas, procedimentos, estruturas organizacionais e funes de software. Estes controles precisam ser estabelecidos para garantir que os objetivos de segurana especficos da organizao sejam atendidos.
32
O resultado esperado de um trabalho como este , sem dvida, que no mnimo todos os investimentos efetuados devam conduzir para: Reduo da probabilidade de ocorrncia de incidentes de segurana; Reduo dos danos/perdas causados por incidentes de segurana; Recuperao dos danos em caso de desastre/incidente. O objetivo da segurana, no que tange informao, a busca da disponibilidade, confidencialidade e integridade dos seus recursos e da prpria informao.
Portanto, a segurana da informao tem como objetivo principal proteger a informao frente aos diversos tipos de ameaas. Para tanto, necessrio que sejam definidos os ativos mais crticos a serem protegidos possibilitando a continuidade dos negcios com o menor nmero de interferncias e interrupes possvel garantindo a qualidade do produto ou servio ofertado dentro dos prazos acordados com seus clientes, refletindo positiva e diretamente na boa imagem da ELECTRA frente a seus clientes. A segurana da informao, segundo a NBR ISO/IEC 17799 (2000, p.1), em seus captulos, presume a implementao de segurana de forma distinta conforme os captulos abaixo: 3. Poltica de Segurana; 4. Segurana Organizacional; 5. Classificao e controle dos ativos de informao; 6. Segurana em pessoas; 7. Segurana Fsica e do ambiente; 8. Gerenciamento das operaes e comunicaes;
33
9. Controle de acesso; 10. Desenvolvimento e manuteno de sistemas; 11. Gesto da continuidade do negcio; 12. Conformidade.
Destes captulos sero utilizados para compor esta obra os seguintes: 3. Poltica de Segurana; 4. Segurana Organizacional 5. Classificao e controle de ativos de informao; 6. Segurana em pessoas; 7. Segurana Fsica e do Ambiente; 12. Conformidade
34
a partir das anlises de riscos que a ELECTRA vai orientar as medidas a serem tomadas e os controles a serem estabelecidos a fim de proteger sua informao e manter o pleno funcionamento dos negcios. De acordo com o a probabilidade de acontecimento de um incidente, medidas preventivas sero tomadas ou no, levando em conta o custo de implementao de tais medidas. A escolha dos controles a serem estabelecidos para diminuir os riscos em nvel aceitvel baseada, inicialmente, na anlise de riscos, mas tem um como um grande obstculo o custo de sua implementao e uma dificuldade adicional de ser implementada em empresas pequenas por terem uma estrutura muito centralizada. importante lembrar que cada empresa tem suas especificidades e por isso as medidas de segurana a serem tomadas diferem de caso em caso.
Pilares da segurana
A segurana da informao, conforme descrito acima, baseia-se em caractersticas que estabelecem condies mnimas de uso da informao que so a disponibilidade, confidencialidade e integridade. Podemos ainda citar mais uma caracterstica que a legalidade. Para que uma informao esteja segura devem ser observados os fatores que influenciam cada uma dessas caractersticas. As caractersticas citadas acima sero detalhadas para tornar claro o seu entendimento e importncia na segurana da informao. Disponibilidade: para que seja utilizada a informao ou o ativo precisa estar disponvel e acessvel a quem tenha o privilgio de uso.
35
Confidencialidade: uma informao ou um ativo s pode ser acessado por quem est autorizado a obter ou manter suas informaes. Integridade: uma informao tem que ser oferecida ao seu usurio de forma ntegra, ou seja, que no tenha sido modificada por qualquer pessoa ou processo no autorizado. Legalidade: Conformidade com a legislao vigente. Segundo a NBR ISO/IEC 17799 (2000, p.1):
Disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso; Integridade: salvaguarda da exatido e completeza da informao e dos mtodos de processamento;
36
distribuio de competncias, direitos e deveres dos cidados, etc. (Dicionrio Aurlio da Lngua Portuguesa, 2a Edio, p.460).
Portanto, h um regimento supremo que confere responsabilidades aos cidados e suas competncias. Dessa forma, cada competncia pode ser tangida por leis especficas. Na tecnologia da informao, mais especificamente na segurana da informao no diferente. necessria a existncia de leis que regulem e padronizem a forma com a qual os usurios relacionaro com as organizaes e seus ativos de informao. As leis atuam nos mbitos federal, estadual, municipal ou mesmo organizacional. Esta ltima a que estabelece uma poltica dentro de uma instituio. A utilizao da informao pelo usurio ocorre de diversas maneiras, atravs de um computador conectado em rede (Internet), utilizando o sistema de sua organizao, manipulando papis, transportando informaes em mdias, armazenando mdias etc. Para que as informaes sejam mantidas asseguradas preciso que alguns cuidados sejam tomados. A implementao de uma poltica de segurana institucional, suas normas e procedimentos so essenciais para diminuir a possibilidade de algum incidente que comprometa a ELECTRA. As normas, leis e decretos federais, estaduais e municipais vm servir de suporte para a correta implantao da poltica de segurana. Dessa forma podemos destacar algumas normas, leis e decretos que esto presentes e atuantes na legislao brasileira que so: NBR ISO/IEC 17799: Esta Norma equivalente ISO/IEC 17799:2000. Esta Norma contm o anexo A, de carter informativo. O anexo A foi incorporado a esta traduo da ISO/IEC 17799:2000, a fim de prestar
37
informaes na descrio de termos na lngua inglesa mantidos nesta Norma, por no possurem traduo equivalente para a lngua portuguesa. Esta Norma fornece recomendaes para gesto da segurana da informao para uso por aqueles que so responsveis pela introduo, implementao ou manuteno da segurana em suas organizaes. Tem como propsito prover uma base comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de gesto da segurana e prover confiana nos relacionamentos entre as organizaes. Convm que as recomendaes descritas nesta Norma sejam selecionadas e usadas de acordo com a legislao e as regulamentaes vigentes; Decreto No 3.505, de 13 de junho de 2000: Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal, ANEXO A; Lei No 2.572, de 20 de julho de 2000: Dispe sobre a preveno das entidades pblicas do Distrito Federal com relao aos procedimentos praticados na rea de informtica, ANEXO A; Lei No 234 de 1996: Dispe sobre crime contra a inviolabilidade de comunicao de dados de computador. (Segurana e Auditoria da Tecnologia da Informao, Claudia Dias, Axcel Books, p.46). Portanto, as normas, leis e decretos servem de base para o desenvolvimento e concluso desta obra permitindo doutrinar o uso e estabelecer padres de segurana da informao. Observa-se que as leis e decretos esto focados s empresas pblicas,
38
Riscos
Alguns conceitos necessitam ser expostos para o correto entendimento do que risco e suas implicaes. Segundo Galvo e Poggi (2002, p.5):
Um ativo algo que tem valor para a empresa, e portanto precisa ser protegido. Os ativos podem ser fsicos (computadores, equipamentos, infraestruturas de transmisso de dados, prdios, etc), softwares, informaes (documentos, bancos de dados, etc), processos, pessoas, e at mesmo intangveis (por exemplo, a imagem da empresa). muito importante avaliar periodicamente o grau de risco dos ativos, porque eles so o suporte de negcios da empresa. Quando se fala em segurana, seja patrimonial, de informaes ou qualquer outro ativo a ser preservado, logo se pensa, do qu se deve proteger este ativo? A resposta mais bvia que se deve proteger de tudo aquilo que venha ameaar o ativo em questo. A possibilidade de que uma ameaa venha a causar danos ao ativo recebe o nome de risco. J que os ativos possuem valor para a empresa, este valor precisa ser avaliado de alguma forma. Esta avaliao pode ser quantitativa, quando existem dados disponveis, ou qualitativa, onde feita uma estimativa da relevncia do ativo para os componentes ou processos do negcio que ele suporta. Uma ameaa um agente ou causa potencial de incidentes que pode ocasionar danos aos ativos, atravs da explorao de vulnerabilidades. Com relao s fontes, as ameaas podem ser humanas (acidentais ou deliberadas) ou ambientais. O acesso no autorizado a dados confidenciais uma ameaa humana deliberada, um erro de parametrizao em um sistema E.R.P. por parte do operador pode ser acidental, e um terremoto uma ameaa ambiental. Uma vulnerabilidade pode ser entendida como sendo uma fragilidade qualquer do ativo que pode ser explorada por uma ameaa.
39
NEGCIO protegem
baseado
INFORMAO sujeita
contm VULNERABILIDADE
diminuem RISCOS
aumentam permitem
aumentam
AMEAAS
Segundo o dicionrio Priberam (02/11/2004, www.priberam.pt), o termo risco definido como: perigo; possibilidade de correr perigo. Segundo Galvo e Poggi (2002, p.6), Denominamos risco ao potencial que uma ameaa tem de explorar vulnerabilidades em um ativo. Este potencial resulta da probabilidade de que esta explorao venha a efetivamente a ocorrer, e do impacto resultante..
40
Galvo e Poggi, White Paper, 2002 Figura 5 - Risco como Probabilidade x Impacto
Caso uma ameaa venha a se confirmar como um evento concreto e possibilitar um dano ao bem, preciso se estimar qual a extenso do mesmo. Estes aspectos so tangidos por um processo de anlise de risco que considera algumas variveis como componentes que atuam diretamente ao risco que so: valor do bem e seus componentes, possveis causas, possibilidade de ocorrncia e extenso do dano. Segundo a NBR ISO/IEC 17799 (2000, p.2):
A anlise de risco uma considerao sistemtica de: a) do impacto nos negcios como resultado de uma falha de segurana, levando-se em conta as potenciais conseqncias da perda de confidencialidade, integridade ou disponibilidade da informao ou de outros ativos; b) da probabilidade de tal falha realmente ocorrer luz das ameaas e vulnerabilidades mais freqentes e nos controles atualmente implementados.
41
Organizacional, possibilitando uma viso do impacto negativo causado aos negcios. As medidas de segurana no podem assegurar 100% de proteo, e a organizao deve analisar a relao custo/beneficio de todas. A organizao precisa achar o nvel de risco ao qual estar disposta a correr. Este processo deve proporcionar as seguintes informaes: Pontos vulnerveis do ambiente; Ameaas potenciais ao ambiente; Incidentes de segurana causados pela ao de cada ameaa; Impacto negativo para o negcio a partir da ocorrncia dos incidentes provveis de segurana; Riscos para o negcio a partir de cada incidente de segurana; Medidas de proteo adequadas para permitir ou diminuir o impacto de cada incidente.
Os maiores riscos so aqueles que no vemos ou no conhecemos; assim o conhecimento do ambiente, e das reais necessidades, tem um papel to ou mais importante do que as ferramentas que eventualmente venhamos a utilizar.
Segundo Dias (2000, p.69), Normalmente os impactos so analisados sob dois aspectos: curto prazo e longo prazo, em funo do tempo em que o impacto, causado por uma ameaa, permanece afetando os negcios da instituio.. Segundo o Galvo e Poggi, (2002, p.5), Se o hacker conseguir acesso indevido a dados confidenciais, ter ocorrido um incidente de segurana, que certamente ter conseqncias. Damos o nome de impacto ao resultado deste incidente..
42
Os impactos devem ser classificados para que sejam adequadamente entendidos pelos gestores de uma organizao, ento ser considerada a seguinte classificao: 0 Impacto irrelevante; 1 Efeito pouco significativo, sem afetar a maioria dos processos de negcios da ELECTRA; 2 Sistemas no disponveis por um determinado perodo de tempo, podendo causar perda de credibilidade junto aos clientes e pequenas perdas financeiras; 3 Perdas financeiras de maior vulto e perda de clientes para a concorrncia; 4 Efeitos desastrosos, porm sem comprometer a sobrevivncia da ELECTRA; 5 Efeitos desastrosos, comprometendo a sobrevivncia da ELECTRA. Alm do nvel do impacto, podem ser definidos vrios tipos de impactos intrinsecamente relacionados aos negcios, que devem ser definidos pelas pessoas que mais o conhecem. Os tipos de impactos considerados so: 0 Ameaa completamente improvvel de ocorrer; 1 Probabilidade de a ameaa ocorrer menos de uma vez por ano; 2 Probabilidade de a ameaa ocorrer pelo menos uma vez por ano; 3 Probabilidade de a ameaa ocorrer pelo menos uma vez por ms; 4 Probabilidade de a ameaa ocorrer pelo menos uma vez por semana; 5 Probabilidade de a ameaa ocorrer diariamente.
43
2.1
Poltica de segurana
A poltica de segurana tem como objetivo fornecer direo da ELECTRA subsdios para o estabelecimento e manuteno da segurana da informao. A direo da ELECTRA deve participar desde a elaborao da poltica at a sua divulgao contando com o seu apoio irrestrito. Sua escrita deve ser simples apresentando os assuntos de forma clara para que seja compreendida por todos na ELECTRA. A poltica deve ser constantemente atualizada acompanhando a modernizao tecnolgica, as mudanas organizacionais de infra-estrutura e de recursos humanos estando completamente alinhada aos objetivos do negcio e porte da ELECTRA. Segundo a NBR ISO/IEC 17799 (2000, p.4), no seu captulo 3 Poltica de Segurana, diz: Objetivo: Prover direo uma orientao e apoio para a segurana da informao.
Ainda segundo a norma NRB ISO/IEC 17799 (2000, p.4), recomenda-se que algumas orientaes seja includas em seu documento:
a) definio de segurana da informao, resumo das metas e escopo e a importncia da segurana como um mecanismo que habilita o compartilhamento da informao (ver introduo); b) declarao do comprometimento da alta direo, apoiando as metas e princpios da segurana da informao; c) breve explanao das polticas, princpios, padres e requisitos de conformidade de importncia especfica para a organizao, por exemplo: 1) conformidade com a legislao e clusulas contratuais; 2) requisitos na educao de segurana;
44
3) preveno e deteco de vrus e software maliciosos; 4) gesto da continuidade do negcio; 5) conseqncias das violaes na poltica de segurana da informao; d) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana; e) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam.
Portanto, a poltica de segurana um conjunto de princpios que do suporte gesto da segurana de informaes perante a alta gerncia e o corpo tcnico da ELECTRA, dividindo-se em normas que ditam as diretrizes gerais da poltica, as normas.
45
5) conseqncias das violaes na poltica de segurana da informao; d) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana; e) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam.
A constante preocupao na divulgao da poltica, como meio para conscientizao dos funcionrios sobre seu contedo e suas obrigaes, deve ser preservada, reciclando o conhecimento aos que permanecerem na ELECTRA e fidelizando aqueles que acabaram de ser contratados. Deve ser eleito um responsvel pela manuteno do documento e anlise crtica atravs de um processo definido.
2.2
Segurana organizacional
Seu objetivo gerenciar a segurana da organizao. A norma NBR ISO/IEC 17799 recomenda a implementao de uma gerncia e que promova a implantao e o controle da segurana da informao na organizao.
Uma poltica de segurana fundamental para apoiar e estabelecer os nveis de conhecimento atravs de treinamentos constantes para novos funcionrios ou terceiros que venham a desempenhar alguma atividade na organizao.
46
47
Avalia a adequao e coordena a implementao de controles especficos de segurana da informao para novos sistemas ou servios;
Analisa criticamente incidentes de segurana da informao; Promove a visibilidade do suporte aos negcios para segurana da informao atravs da organizao.
48
recomendao de um colaborador que coordenar todo o conhecimento e as experincias, garantindo a consistncia e auxiliando nas tomadas de deciso. Em caso de incidentes o consultor poder compor a equipe de investigao auxiliando na identificao das ameaas e das vulnerabilidades, at mesmo propondo mudanas direo.
49
Tal anlise crtica pode ser executada pela auditoria interna, por um gestor independente ou por uma organizao prestadora de servios especializada em tais anlises crticas, onde estes possurem habilidade e experincia apropriadas.
Identificao dos riscos no acesso de prestadores de servio; Tipos de acesso; o Acesso fsico: qualquer acesso aos ambientes crticos, Data Center, almoxarifado, armrios de equipamentos e cabeamentos, sala dos diretores, sala de gerncia e controle de alarmes etc, deve ser controlado e autorizado atravs de mecanismos e dispositivos biomtricos, caso a situao exija. Razes para o acesso; o Necessidade de manuteno e suporte mediante contrato estabelecido entre as partes; o Parcerias no desenvolvimento de produtos ou negcios onde h necessidade de estudos em conjunto; o A cada tipo de acesso devem ser estudados os ativos de informao envolvidos, sua criticidade e valores para a
50
organizao, assim dimensionando o correto controle para o acesso dos terceiros. Contrato para servios internos; o Existem diversos prestadores de servios, equipes de suporte e manuteno, pessoal de limpeza, estagirios, sub-locao de servios; o recomendvel que o contrato possua clusulas de confidencialidade e penalidade caso seja descumprido no todo ou em parte; o recomendvel responsabilizar o contratado por toda e qualquer mudana no quadro de seus colaboradores que possuem acessos ELECTRA; o recomendvel que os acessos expirem nas datas em que os contratos deixam de ser vlidos. Requisitos de segurana nos contratos com prestadores de servios; Convm que todo e qualquer acesso de terceiros ELECTRA seja baseado em contrato formal que fornea as informaes necessrias ao cumprimento da poltica de segurana da ELECTRA; Recomenda-se que todos os ativos envolvidos estejam declarados em contrato, sendo os contratados responsabilizados por danos causados aos mesmos;
51
2.3
Os objetivos desta seo so definir a classificao, o registro e o controle das informaes da organizao.
52
Classificao da informao
O objetivo da classificao da informao garantir que os ativos de informao recebam um nvel adequado de proteo, pois a informao possui vrios nveis de sensibilidade e criticidade. A informao deve ser classificada para indicar a importncia, a prioridade e o nvel de proteo. Pode ser que informaes mais sensveis recebam um nvel adicional de proteo ou um tratamento especial. Um sistema de classificao da informao deve ser usado com intuito de definir nveis mais adequados de proteo.
53
A responsabilidade pela classificao da informao e sua reviso peridica devem ficar a cargo de seu autor ou do proprietrio responsvel por ela.
2.4
Segurana em pessoas
Os objetivos desta seo so: reduzir os riscos de falha humana, roubo, fraude ou uso imprprio das instalaes; assegurar que os usurios, de acordo com seus cargos, estejam cientes das ameaas segurana da informao; assegurar que os usurios estaro preocupados e treinados em apoiar a poltica de segurana da informao no desenvolvimento rotineiro de suas tarefas, ajudando a minimizar os danos de incidentes e o mau funcionamento da segurana, sabendo como agir em caso de incidentes.
54
todos os funcionrios, terceiros e usurios das instalaes de processamento da informao assinem um acordo de sigilo. Na sua fase de manuteno, as responsabilidades de segurana devem ser atribudas aos funcionrios e terceiros ainda durante o processo de recrutamento e contratao, includas em contrato e monitoradas ininterruptamente.
Poltica de pessoal
necessrio verificar, no momento de sua contratao ou promoo, a idoneidade de funcionrios que de alguma maneira tero acesso s informaes consideradas sensveis ou sigilosas. Para aqueles funcionrios que ocupam cargos revestidos de autoridade, e que tm tambm acessos a essas informaes, necessrio que a checagem seja refeita periodicamente. Os funcionrios novos e sem experincia, que tm autorizao para acesso a sistemas sensveis devem passar por um perodo de avaliao e superviso. Um processo similar de seleo deve ser feito para funcionrios temporrios e fornecedores. No caso em que os recursos humanos so fornecidos por agncias de RH, o contrato entre a agncia e a organizao deve
55
especificar claramente a responsabilidade da agncia pela seleo e verificao da idoneidade dos funcionrios.
Acordos de confidencialidade
Os acordos de confidencialidade so importantes para ressaltar o sigilo da informao. Eles devem fazer parte dos termos e condies iniciais de contratao e, alm disso, devem continuar a ter validade, mesmo aps o encerramento do contrato de trabalho. Funcionrios temporrios e fornecedores devem possuir acordos semelhantes.
56
57
juntamente com os resultados obtidos aps o incidente ser tratado. Tais incidentes podem ser usados nos treinamentos de usurios.
Processo disciplinar
58
Deve ser previsto processo disciplinar formal para os funcionrios que tenham violado as polticas e os procedimentos de segurana. Muitas vezes, a existncia desse processo pode dissuadir funcionrios que estejam inclinados a desrespeitar os procedimentos de segurana. necessrio que qualquer punio esteja enquadrada nas leis vigentes.
2.5
59
Incndio (fogo e fumaa); gua (vazamentos, corroso, enchentes); Tremores e abalos ssmicos; Tempestades, furaces; Terrorismo; Sabotagem e vandalismo; Exploses; Roubos, furtos; Desmoronamento de construes; Materiais txicos; Interrupo de energia (bombas de presso, ar-condicionado, elevadores); Interrupo de comunicao (links, voz, dados); Falhas em equipamentos; Outros.
Aps este levantamento, o resultado da anlise deve apontar o grau do risco a que a empresa est exposta em decorrncia das ameaas referentes segurana fsica. De acordo com as reas de maior risco (aquelas que podem causar prejuzos ao negcio se um evento motivado por falha na segurana fsica acontecer), os investimentos devem ser direcionados para que o risco seja minimizado. Por exemplo, pode ser que haja a necessidade de se adquirir equipamentos de controle de acesso baseado em autenticao biomtrica para reas crticas e de circulao restrita, como sala de servidores, alta direo da empresa etc. As medidas de correo e equipamentos necessrios devem ser adquiridos com base no custo-benefcio que proporcionam. Para alguns casos, o prejuzo decorrente de um evento inferior ao valor do investimento a ser feito nas medidas de correo, o que nos faz enxergar com clareza que neste caso, o melhor seria ignorar o risco. Para estas e outras decises que envolvam investimento em segurana, a participao do Security Officer da empresa fundamental. Com sua viso estratgica a respeito dos processos de negcio da empresa, o responsvel pela segurana saber determinar onde e de que forma a empresa dever investir para minimizar os riscos. O direcionamento da origem destes investimentos tambm de suma importncia, uma vez que a rea de TI no deve ser a responsvel pela verba destinada compra de dispositivos de controle de acesso fsico do Departamento Financeiro de uma empresa, por exemplo.
60
A grande mensagem que deixamos aqui que a segurana fsica da empresa to importante quanto a segurana no ambiente de tecnologia, e no deve, de forma alguma, ser deixada de lado. Em relao segurana da informao, no devemos contar com o fator sorte.
Portanto, para se obter um ambiente fsico seguro alguns pontos devem ser observados. Segundo a norma NBR ISO/IEC 17799 (2000, p14), seguem os pontos a serem analisados:
Prevenir acesso no autorizado, dano e interferncia s informaes e instalaes fsicas da organizao. Convm que os recursos e instalaes de processamento de informaes crticas ou sensveis do negcio sejam mantidos em reas seguras, protegidas por um permetro de segurana definido, com barreiras de segurana apropriadas e controle de acesso. Convm que estas reas sejam fisicamente protegidas de acesso no autorizado, dano ou interferncia. Convm que a proteo fornecida seja proporcional aos riscos identificados. Polticas de mesa limpa e tela limpa so recomendadas para reduzir o risco de acesso no autorizado ou danos a papis, mdias, recursos e instalaes de processamento de informaes.
61
usem os permetros de segurana para proteger as reas que contm os recursos e instalaes de processamento de dados. Um permetro de segurana qualquer coisa que estabelea uma barreira. Por exemplo, uma parede, uma porta com controle de entrada baseado em carto ou mesmo um balco de controle de acesso com registro manual. A localizao e a resistncia de cada barreira dependem dos resultados da avaliao de risco. Recomenda-se que as seguintes diretrizes e controles sejam considerados e implementados nos locais apropriados. a) Convm que o permetro de segurana esteja claramente definido. b) Convm que o permetro de um prdio ou local que contenha recursos de processamento de dados seja fisicamente consistente (isto , no podem existir brechas onde uma invaso possa ocorrer facilmente). Convm que as paredes externas do local possuam construo slida e todas as portas externas sejam protegidas de forma apropriada contra acessos no autorizados, como, por exemplo, mecanismos de controle, travas, alarmes, grades etc. c) Convm que uma rea de recepo ou outro meio de controle de acesso fsico ao local ou prdio seja usado. Convm que o acesso aos locais ou prdios seja restrito apenas ao pessoal autorizado. d) Convm que barreiras fsicas sejam, se necessrio, estendidas da laje do piso at a laje superior, para prevenir acessos no autorizados ou contaminao ambiental, como as causadas por fogo e inundaes. e) Convm que todas as portas de incndio no permetro de segurana possuam sensores de alarme e mola para fechamento automtico.
62
63
64
e) Convm que os sistemas de deteco de intrusos sejam instalados por profissionais especializados e testados regularmente, de forma a cobrir todas as portas externas e janelas acessveis. Convm que as reas no ocupadas possuam um sistema de alarme que permanea sempre ativado. Convm que esses cuidados tambm cubram outras reas, como por exemplo a sala de computadores ou salas de comunicao. f) Convm que as instalaes de processamento da informao gerenciadas pela organizao fiquem fisicamente separadas daquelas gerenciadas por prestadores de servio. g) Convm que os arquivos e as listas de telefones internos que identificam os locais de processamento das informaes sensveis no sejam de acesso pblico. h) Convm que os materiais combustveis ou perigosos sejam guardados de forma segura a uma distncia apropriada de uma rea de segurana. Convm que os suprimentos volumosos, como material de escritrio, no sejam guardados em uma rea de segurana, a menos que requeridos. i) Convm que os equipamentos de contingncia e meios magnticos de reserva (backup) sejam guardados a uma distncia segura da instalao principal para evitar que desastres neste local os afetem.
65
organizao como para prestadores de servios que trabalham em reas de segurana, assim como para atividades terceirizadas que possam ocorrer nessa rea. Recomendase que os seguintes itens sejam considerados. a) Convm que os funcionrios s tenham conhecimento da existncia de rea de segurana ou de atividades dentro dela quando necessrio. b) Convm que se evite trabalho sem superviso nas reas de segurana, tanto por razes de segurana como para prevenir oportunidades para atividades maliciosas. c) Convm que as reas de segurana desocupadas sejam mantidas fisicamente fechadas e verificadas periodicamente. d) Convm que pessoal de servio de suporte terceirizado tenha acesso restrito s reas de segurana ou s instalaes de processamento de informaes sensveis somente quando suas atividades o exigirem. Convm que este acesso seja autorizado e monitorado. Barreiras e permetros adicionais para controlar o acesso fsico podem ser necessrios em reas com diferentes requisitos de segurana dentro de um mesmo permetro de segurana. e) Convm que no se permitam o uso de equipamentos fotogrficos, de vdeo, de udio ou de outro equipamento de gravao, a menos que seja autorizado.
66
67
Objetivo: Prevenir perda, dano ou comprometimento dos ativos e a interrupo das atividades do negcio. Convm que os equipamentos sejam fisicamente protegidos contra ameaas sua segurana e perigos ambientais. A proteo dos equipamentos (incluindo aqueles utilizados fora das instalaes fsicas da organizao) necessria para reduzir o risco de acessos no autorizados a dados e para proteo contra perda ou dano. Convm que esta proteo considere os equipamentos instalados e os em alienao. Controles especiais podem ser exigidos para proteo contra perigos ou acessos no autorizados e para salvaguardar as instalaes de suporte, como o fornecimento de energia eltrica e cabeamento.
68
c) Convm que os itens que necessitem de proteo especial sejam isolados para reduzir o nvel geral de proteo exigida. d) Convm que sejam adotados controles, de forma a minimizar ameaas potenciais, incluindo: Roubo; Fogo; Explosivos; Fumaa; gua (ou falha de abastecimento); Poeira; Vibrao; Efeitos qumicos; Interferncia no fornecimento eltrico; Radiao eletromagntica.
e) Convm que uma organizao considere polticas especficas para alimentao, bebida e fumo nas proximidades das instalaes de processamento da informao.
69
f) Convm que aspectos ambientais sejam monitorados para evitar condies que possam afetar de maneira adversa operao das instalaes de processamento da informao. g) Convm que uso de mtodos de proteo especial, como capas para teclados, seja considerado para equipamentos em ambiente industrial. h) Convm que o impacto de um desastre que possa ocorrer nas proximidades da instalao, como por exemplo um incndio em um prdio vizinho, vazamentos de gua no telhado ou em andares abaixo do nvel do cho ou exploses na rua tambm seja considerado.
Fornecimento de energia
Convm que os equipamentos sejam protegidos contra falhas de energia e outras anomalias na alimentao eltrica. Convm que um fornecimento de energia apropriado ocorra em conformidade com as especificaes do fabricante do equipamento. Algumas opes para alcanar a continuidade do fornecimento eltrico incluem: a) Alimentao mltipla para evitar um nico ponto de falha no fornecimento eltrico; b) No-break (Uninterruptable Power Supply - UPS); c) Gerador de reserva. recomendado o uso de no-break em equipamentos que suportem atividades crticas para permitir o encerramento ordenado ou a continuidade do processamento. Convm que os planos de contingncia contenham aes a serem tomadas em casos de falha no no-break. Convm
70
que esse tipo de equipamento seja periodicamente verificado, de forma a garantir que ele esteja com a capacidade adequada, e testado de acordo com as recomendaes do fabricante. Convm que um gerador de reserva seja considerado se o processamento requer continuidade, em caso de uma falha eltrica prolongada. Se instalados, convm que os geradores sejam testados regularmente de acordo com as instrues do fabricante. Convm que um fornecimento adequado de leo esteja disponvel para assegurar que o gerador possa ser utilizado por um perodo prolongado. Adicionalmente, convm que se tenham interruptores eltricos de emergncia localizados prximo s sadas de emergncia das salas de equipamentos para facilitar o desligamento em caso de emergncia. Convm que iluminao de emergncia esteja disponvel em casos de falha da fonte eltrica primria. Convm que proteo contra relmpagos seja usada em todos os prdios e que filtros de proteo contra raios sejam instalados para todas as linhas de comunicao externas.
Segurana do cabeamento
Convm que o cabeamento eltrico e de telecomunicao que transmite dados ou suporta os servios de informao seja protegido contra interceptao ou dano. Recomenda-se que os seguintes controles sejam considerados: a) Convm que as linhas eltricas e de telecomunicaes das instalaes de processamento da informao sejam subterrneas, onde possvel, ou sejam submetidas proteo alternativa adequada.
71
b) Convm que o cabeamento da rede seja protegido contra interceptaes no autorizadas ou danos, por exemplo pelo uso de condutes ou evitando a sua instalao atravs de reas pblicas. c) Convm que os cabos eltricos fiquem separados dos cabos de comunicao para prevenir interferncias. d) Convm que para sistemas crticos ou sensveis sejam utilizados alguns controles adicionais, tais como: 1) Instalao de condutes blindados e salas ou gabinetes trancados nos pontos de inspeo e terminais; 2) Uso de rotas e meios de transmisso alternativos; 3) Uso de cabeamento de fibra ptica; 4) Varredura inicial para identificar dispositivos no autorizados conectados aos cabos.
72
c) Convm que se mantenham registros de todas as falhas suspeitas ou ocorridas e de toda manuteno corretiva e preventiva. d) Convm que controles apropriados sejam utilizados quando do envio de equipamentos para manuteno fora da instalao fsica (ver tambm 7.2.6, considerando dados excludos, apagados e sobrepostos). Convm que todos os requisitos impostos pelas aplices de seguro sejam atendidos.
73
b) Convm que as instrues dos fabricantes para proteo dos equipamentos sejam sempre observadas, como por exemplo proteo contra exposio a campos magnticos intensos. c) Convm que os controles para trabalho em casa sejam determinados atravs da avaliao de risco e os controles apropriados aplicados conforme a necessidade, como por exemplo gabinetes de arquivo fechados, poltica de mesa limpa e controles de acesso aos computadores. d) Convm que se use uma cobertura adequada de seguro para proteger os equipamentos existentes fora das instalaes da organizao. Os riscos de segurana, como por exemplo de dano, roubo e espionagem, podem variar consideravelmente conforme a localizao e convm que sejam levados em conta na determinao dos controles mais apropriados. Maiores informaes sobre a proteo de equipamentos mveis podem ser encontradas em 9.8.1.
74
informaes sensveis podem necessitar de uma avaliao de riscos para se determinar se tais itens deveriam ser destrudos, reparados ou descartados.
Objetivo: Evitar exposio ou roubo de informao e de recursos de processamento da informao. Convm que informaes e recursos de processamento da informao sejam protegidos de divulgao, modificao ou roubo por pessoas no autorizadas e que sejam adotados controles de forma a minimizar sua perda ou dano. Os procedimentos para manuseio e armazenamento esto considerados em 8.6.3.
75
a) Onde for apropriado, convm que papis e mdias de computador sejam guardados, quando no estiverem sendo utilizados, em gavetas adequadas, com fechaduras e/ou outras formas seguras de mobilirio, especialmente fora do horrio normal de trabalho. b) Informaes sensveis ou crticas ao negcio, quando no forem requeridas, devem ser guardadas em local distante, de forma segura e fechada (de preferncia em um cofre ou arquivo resistente a fogo), especialmente quando o escritrio estiver vazio. c) Computadores pessoais, terminais de computador e impressoras no devem ser deixados ligados quando no assistidos e devem ser protegidos por senhas, chaves ou outros controles quando no estiverem em uso. d) Pontos de recepo e envio de correspondncias e mquinas de fax e telex no assistidas devem ser protegidos. e) Copiadoras devem ser travadas (ou de alguma forma protegidas contra o uso no autorizado) fora do horrio normal de trabalho. f) Informaes sensveis e classificadas, quando impressas, devem ser imediatamente retiradas da impressora.
Remoo de propriedade
Equipamentos, informaes ou software no devem ser retirados da organizao sem autorizao. Quando necessrio e apropriado, os equipamentos devem ser desconectados e conectados novamente no seu retorno. Inspees pontuais devem ser
76
realizadas de forma a detectar a remoo no autorizada de propriedade. As pessoas devem estar cientes de que inspees pontuais sero realizadas seguindo um plano de auditoria.
2.6
Conformidade
Os objetivos desta sesso so evitar, por parte da organizao, as seguintes violaes: s leis civis ou criminais; s obrigaes legais ou contratuais de propriedade intelectual; de segurana a sistemas e informaes de terceiros. Tambm visa a maximizar a efetividade e minimizar a interferncia em sistema de auditagem.
O projeto, a operao, o uso e a gesto de sistemas de informao podem estar sujeitos a requisitos de segurana contratuais, regulamentares ou estatutrios. Por isso, necessrio identificar os aspectos legais para evitar a violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana. Consultoria em requisitos legais pode ser procurada em organizaes de consultoria jurdica ou com profissionais liberais adequadamente qualificados. importante lembrar que os requisitos legais variam de pas para pas e se aplicam tambm para a informao criada em um pas e transmitida para outro.
77
78
Esses sistemas de armazenagem devem ser escolhidos de modo que o dado solicitado possa ser recuperado de forma legal e aceitvel. E, por ltimo, o sistema de armazenamento e manuseio deve assegurar a clara identificao dos registros e seus respectivos perodos de reteno estatutrios e regulamentares. Deve permitir, ainda, a destruio apropriada dos registros aps esses perodos, caso no sejam mais necessrios organizao.
79
80
Coleta de evidncias
Um processo jurdico contra pessoa ou organizao deve estar embasado em evidncias adequadas. Quando ele for de ordem interna, as evidncias necessrias devero estar definidas nos procedimentos internos. Quando for de ordem externa, as evidncias necessrias devem estar de acordo com as regras estabelecidas pela lei ou tribunal de justia especficos da localidade onde o caso ser julgado. Para se obter a admissibilidade da evidncia, as organizaes devem garantir que seus sistemas de informao estejam em conformidade com qualquer norma ou cdigo de prtica publicados. Por outro lado, para o proprietrio obter qualidade e inteireza da evidncia, um bom registro (log) de evidncia necessrio. Quando o incidente detectado, pode no ser bvio que resultar num possvel processo jurdico. Pode ser, tambm, que a evidncia necessria seja destruda acidentalmente antes que seja percebida a seriedade do incidente. conveniente acionar um advogado ou a polcia, to logo seja constatada a necessidade de processos jurdicos, bem como obter consultoria especializada sobre as evidncias necessrias.
2.7
A segurana dos sistemas de informao deve estar em constante reviso para garantir a conformidade dos sistemas com as polticas e normas de segurana da organizao.
81
82
Requisitos e atividades de auditoria que exijam a verificao nos sistemas operacionais devem ser cuidadosamente planejados e acordados para minimizar os riscos de interrupo dos ambientes crticos. Acessos s ferramentas de auditoria de sistema devem ser protegidos contra uso imprprio ou comprometimento. Estas ferramentas devem estar isoladas dos ambientes de desenvolvimento e de produo e no devem ser manipuladas em reas de acesso de usurios, a menos que forneam um nvel apropriado de proteo.
2.8
Sala-Cofre
Segundo Brasiliano (2004), a sala-cofre uma soluo mundialmente adotada pelos Data Centers. Ela composta por uma clula hermtica e de mltiplas camadas de proteo para distribuio e absoro de impacto, presso e calor..
A concepo da sala-cofre, no que diz respeito proteo composta por uma cmara externa refratria (a prova de temperaturas at 1000 C) e uma clula interna hermtica (estanque a gases e lquidos) que tem capacidade de absoro de calor. A
83
envasadura entre as clulas externas e internas permite distribuio de presses e calor para otimizar a capacidade de resistir a todos tipos de sinistros. A sala-cofre deve ser uma soluo sob medida, sendo a cmara externa construda na rea em alvenaria e concreto, com aproveitamento de lajes e paredes existentes ou pode ser composta por elementos pr-fabricados. A clula interna prfabricada em painis com 3 cm de espessura em chapa de ao. Os painis da lateral, teto e fundo so montados dentro, mas independente da cmara externa e unidos por pontos de solda MIG (material inerte gs). As juntas so flexveis para poder absorver deformaes sem perder o isolamento. O acesso sala-cofre protegido por uma porta refratria integrada cmara externa, abrindo para fora e uma porta estanque integrada a clula interna, abrindo para dentro. A sala-cofre deve possuir um sistema de piso elevado para atender as seguintes necessidades: Funcionar como "plenum de insuflamento" de ar condicionado; Permitir a passagem de cabos de fora para os computadores; Permitir a passagem de cabos de lgica entre as vrias unidades do computador; Permitir a distribuio das vrias linhas da rede telefonia, do sistema de segurana e de deteco e combate ao fogo; Permitir fcil remanejamento de unidades e oferecer maior flexibilidade e alteraes de "layout" e expanses futuras;
84
O piso deve possuir as seguintes caractersticas: estrutura metlica de apoio, autoportante, disposta em forma reticulada, sem perfis metlicos aparentes, apoiada em suportes metlicos verticais ajustveis a uma altura entre 0,40 m a 0,60 m;
Possuir placas removveis e intercambiveis, com a mesma modularidade da estrutura metlica, de fcil remoo e recolocao, com revestimento superficial especfico para piso que permita a descarga de eletricidade esttica;
Suportar os esforos das cargas distribudas e concentradas, previstos nos locais para onde foram projetados e instalados;
Todo o sistema de piso elevado dever ser aterrado, podendo eventualmente ser utilizado como malha de referncia;
As placas no devero ter nenhuma parte metlica exposta; As estruturas dos pisos elevados devem ser suportadas por materiais incombustveis de resistncia adequada. Sua estrutura no deve ter peas de alumnio ou outro material com ponto de fuso abaixo de 100C. As placas devem ser no inflamveis e resistentes ao fogo por no mnimo 30 minutos;
85
O piso deve ser projetado de forma a permitir que sua integridade seja mantida e garantir um isolamento trmico conveniente, no caso de um incndio iniciar-se dentro do vo criados entre tal piso e a laje;
Todas as aberturas devem ser fechadas tanto quanto possvel para impedir que fiapos e outras fontes de ignio, ao longo do tempo, gradualmente acumulem-se no envasamento.
A passagem de ar (necessrio em caso de climatizao por sistema externo) exige damper especial para blindagem da abertura. As portas e os dampers so providos de sistemas de fechamento autnomos somente com a energia das suas prprias molas. Energia eltrica s aplicada para mant-las abertas. A sala-cofre uma proteo altamente confivel, pois opera normalmente fechada ou fecha de imediato ao menor sinal de perigo. No h custo para acion-la e no oferece risco para funcionrios. Portanto, no necessita de bloqueio como em alguns sistemas de combate, nem retardamento para verificao ou qualquer outro impedimento. As pessoas podem sair da sala mesmo se for trancada a chave. A iluminao interna provida de fontes eletrnicas de alta freqncia e com total segurana. Para controle do risco de ignio dentro da clula (mesmo sendo um risco remoto) deve haver detector de produtos de combusto ("fumaa") ligado ao sistema do prdio. Para combate automtico dentro da sala pode ser instalado um sistema de descarga de gs supressor de combusto. A sala-cofre hoje usada nas reas onde os equipamentos possam trabalhar sem interveno humana, tais como:
86
CPU (Unidade Central de Processamento); Discos, fitoteca robotizada; Servidores de rede e equipamentos de comunicao;
A sala-cofre deve possuir, em caso de emergncia, um sistema automtico que deve entrar em "estado de alarme" desencadeando as seguintes funes: tocar o alarme dentro da sala, fechar a porta interna e, aps pequeno retardo, fechar a porta externa. Aps um pequeno perodo desligar a iluminao.
Controle de Acesso
Segundo Haical (2004):
O controle de acesso do tipo fsico toda e qualquer aplicao de equipamentos ou procedimentos com o objetivo de proteger ambientes, equipamentos ou informaes cujo acesso deve ser restrito. Esse tipo de controle envolve o uso de cancelas, chaves, trancas, guardas, ces, crachs, grades, muros, alarmes, vdeo, smart cards (cartes com capacidade de armazenar e processar dados), biometria (ramo da cincia que estuda a mensurao dos seres vivos). e outros meios que podem ser usados nos pontos de acesso onde o usurio tenta obter o acesso, alm da aplicao de normas e procedimentos utilizados pela empresa para esse fim.
Os sistemas de controle de acesso fsico possibilitam a integrao de outras funcionalidades, como integrao com leitores biomtricos, controle de
estacionamento, controle de elevadores, integrao com alarmes de incndio, controle de ronda, emisso de crachs para visitantes e integrao com CFTV (circuito fechado
87
de televiso), ou tambm o Acesso Universal, isto , a integrao do controle de acesso fsico com controle de acesso lgico, possibilitando a criao de implementaes especiais, como permitir o acesso estao de trabalho apenas a usurios que se autenticaram no ponto de acesso e a utilizao da mesma credencial biomtrica (referente biometria) para todos os dispositivos. O controle de acesso fsico utilizando mtodos manuais ou automatizados deve ter como regra bsica a capacidade de diferenciar o usurio autorizado e o no autorizado mediante sua identificao, assim atentando s seguintes premissas: O que a pessoa : sua identificao ou caractersticas biomtricas; O que a pessoa possui: uso de cartes ou chaves; O que a pessoa sabe: uso de senha ou cdigos.
possvel notar o uso de duas destas premissas em um exemplo bastante comum como o caixa de banco automtico. O que o usurio possui, como o carto magntico e o que ele sabe, como a senha de acesso. Sistemas que utilizam apenas uma das premissas esto mais suscetveis falhas provenientes por perda, uso indevido e falsificaes, sendo mais confivel o uso de mais de uma premissa. Um sistema de controle de acesso tambm pode conter as seguintes caractersticas: Proteo contra ataques forados: o esquema de controle deve ter a eficincia para evitar invases mediante o corte de energia ou fora bruta. Capacidade de expanso: o sistema deve ter capacidade de crescimento ou mudanas. Tais mudanas so provenientes do aumento de usurios autorizados, alteraes nos nveis de privilgios de acesso. Tambm deve
88
conter modems (modulador/demodulador) ou redes virtuais privadas possibilitando o controle de acesso em pontos remotos. Habilidade de registrar acessos: deve ser capaz de registrar os acessos de modo que permita consultas posteriores, monitorao e auditorias com aplicao de filtros de pesquisa. Assim, o sistema deve gravar pelo menos a data, hora, local e a identificao da pessoa. E para os acessos invlidos devem ser gravadas as datas, hora, local, identificao e a razo do bloqueio. Bloqueio de mltiplos acessos: o sistema deve bloquear a entrada de uma determinada pessoa at que sua sada seja efetuada, assim evitando o uso da mesma identificao por mais de uma pessoa. Para evitar o acesso mltiplo, o sistema tambm deve permitir apenas a entrada de uma pessoa a cada acesso vlido. Podem ser usadas, por exemplo, catracas ou portas giratrias que so utilizadas em bancos brasileiros permitindo a passagem de uma pessoa por vez. recomendada a utilizao de uma monitorao intensa para dispositivos de controle de baixa altura como roletas e catracas, pois possvel ser pulado por pessoas. Assim se a inteno for utilizar um ponto de acesso com pouca superviso, devem ser usados dispositivos de altura plena.
89
Cancelas: Podem ser simples para locais abertos ou articuladas para locais que obstruam o seu levantamento. As cancelas podem ser controladas manualmente, por meio de botes, cartes magnticos, de cdigo de barras ou cartes de proximidade e por algum dispositivo biomtrico (referente biometria) como o de verificao de digital, o mais comum. Guardas: podem ser posicionados em pontos estratgicos para melhor controlar o acesso e permiti-lo apenas a pessoas autorizadas. Sua atuao bastante eficaz na inspeo de pacotes e outros objetos de mo na entrada ou sada. Autenticao por senha: geralmente feita por meio da digitao da senha em um teclado junto ao ponto de acesso. Ao ser digitada corretamente abre-se a porta ou outro tipo de acesso. A senha tambm pode ser utilizada em um carto ou crach de identificao, sendo recomendada a ausncia de identificao visual, informaes ou perfuraes no carto ou crach referentes aos privilgios de acesso, evitando o uso indevido em caso de perda ou furto. Portas duplas: geralmente usadas para forar pessoas que esto tentando ter o acesso a identificarem-se para um guarda, que pode se posicionar na entrada da segunda porta ou por um sistema de televiso e udio. Pode ser aplicada em situaes que uma pessoa persegue outra para tentar obter acesso a reas restritas. Torniquetes: um equipamento que permite o fluxo controlado de pessoas nos dois sentidos de giro (uni ou bidirecional). Aceita a condio monitorada de entrada e / ou sada com restries de autorizao da passagem ou ainda por horrio por meio do coletor de dados. Podem ser integrados com vrios validadores ou equipamentos de controle (por carto magntico, cdigo de barras, proximidade, smart cards, dispositivos
90
biomtricos etc.) e ainda com dispositivos de comando distncia como controle remoto ou similares. Controle de acesso biomtrico: Biometria mais bem definida como sendo a mensurao fisiolgica e/ou caracterstica de comportamento que pode ser utilizada para verificao de identidade de um indivduo. A mensurao inclui impresses digitais, voz, retina, ris, reconhecimento de face, imagem trmica, anlise de assinatura, palma da mo e outras tcnicas. A biometria tem vantagens no seu uso sobre os outros mtodos de autenticao. Cartes magnticos, crachs, smart cards, chaves podem ser perdidos, duplicados, roubados e mesmo esquecidos em casa. Senhas podem ser observadas, compartilhadas ou esquecidas, o que no acontece com alguns sistemas da biometria. O usurio identificado por caractersticas nicas, pessoais e intransferveis, ou seja, pelo que ele e no pelo que possui (cartes ou crachs) ou sabe (senhas). Crachs: funcionrios e visitantes devem ser obrigados a us-los para obterem o acesso. Para maior segurana recomendado que os crachs tenham poucas informaes como assinaturas e detalhes impressos sobre os privilgios de acesso do funcionrio. A identificao pode ser feita por cdigos ou cores e o nmero de srie dos crachs deve ser nico. Tipo de Crachs: funcionrio, prestador de servio, visitante, provisrio, scio (para clubes), aluno (para academias e escolas), especial (o qual pode ser personalizado, por exemplo, estagirio, temporrio etc.). Portarias: as portarias devem fazer o registro e a baixa dos visitantes, agendamento de visitantes ou grupos de visitantes, distribuio dos crachs provisrios e o registro do movimento de veculos. Tambm deve ser feita a
91
verificao se o visitado est presente na empresa no momento da visita e at se o visitante tem alguma restrio ou proibio de acesso. Para aumentar o nvel de segurana da empresa deve ser feita a verificao se a visita foi pr-agendada, assim facilitando o processo de registro do visitante. Devem ser registrados os seguintes dados do visitante: nome, empresa, documento, visitado e motivo da visita. A confeco de um crach ou etiqueta para o visitante pode ser feita caso seja possvel capturar a imagem e imprimir a mesma. No caso de um crach provisrio comum, recolh-lo na sada possibilitando a reutilizao por outro visitante. Caso a baixa do crach no tenha sido efetuada, deve-se verificar se o visitante ainda est no local e se o seu nmero de crach confere com o registro, assim protegendo contra extravios dos mesmos.
92
ESTUDO DE CASO
3.1
Poltica de segurana
No existe uma Poltica de Segurana Corporativa formal abordando toda a norma ISO/IEC 17799 com divulgao, conscientizao e treinamento definido e apoiado pela alta direo da ELECTRA. Existe sim uma Poltica de Segurana desatualizada (criada h cerca de 20 anos) e que por isso no plenamente seguida, pois no retrata a situao atual. A anlise dos riscos da ELECTRA ponto de partida para a definio de uma boa Poltica de Segurana Corporativa.
No existe um Comit Gestor Corporativo especfico de segurana formalizado para implementao e manuteno da Poltica de Segurana da Informao. Apenas existe uma equipe no departamento de segurana estudando a Norma.
93
A Norma ABNT ISO/IEC 17799 trata desse assunto em seu item 3.1 Poltica de Segurana da seguinte forma: Convm que a direo estabelea uma Poltica clara e demonstre apoio e comprometimento com a segurana da informao atravs da emisso e manuteno de uma Poltica de Segurana da Informao para toda a ELECTRA.
Criar e aprovar, em carter de emergncia, a Poltica de Segurana Corporativa da Informao de acordo com as normas, legislaes vigentes e cultura da ELECTRA. Criar um Departamento de Segurana da Informao com um Gerente (Security Officer); Criar um Comit Gestor Corporativo para implementao, manuteno e reviso de Poltica de Segurana da Informao na ELECTRA; Criar fruns apropriados, com liderana da alta direo, para gerir, estabelecer e aprovar uma Poltica de Segurana da Informao, sendo publicada e divulgada para todos os funcionrios em toda a ELECTRA, de forma relevante, acessvel e compreensvel ao pblico-alvo. A poltica de segurana deve afirmar o compromisso e o apoio da alta administrao da ELECTRA e descrever a abordagem da organizao quanto ao gerenciamento da segurana da informao;
94
necessrio tambm se obter uma boa compreenso dos requisitos de segurana, da avaliao dos riscos e da administrao dos riscos; Recomenda-se realizar treinamentos de conscientizao e educao especfica sobre a Poltica de Segurana Corporativa; Recomenda-se implantar um amplo e equilibrado sistema de aferio baseado em revises peridicas, utilizado para avaliar o desempenho na administrao da segurana da informao e sugestes de feedback para aperfeioamentos; Recomenda-se assegurar que se realizem revises em resposta a quaisquer mudanas que afetem as bases da avaliao original dos riscos, como por exemplo: Incidentes de segurana significativos; Mudanas da infra-estrutura organizacional ou tcnica; Novas vulnerabilidades.
As responsabilidades pelo cumprimento dos processos de segurana e suas implicaes devem estar claramente definidas e serem revistas sempre; Convm que todos os prestadores de servios e estagirios assinem um termo de compromisso com a nova Poltica de Segurana da Informao da ELECTRA.
95
3.1.3 Plano de Ao
Geral
Este plano possibilita a soluo dos itens do mdulo de Poltica de Segurana atravs de: Criao e aprovao, em carter de emergncia, da Poltica de Segurana Corporativa da Informao de acordo com as Normas, Legislaes e cultura da ELECTRA, com apoio irrestrito da alta direo. Nomeao de um Gerente de Segurana da Informao (Security Officer); Criao de um Comit Gestor para implementao, manuteno e reviso da Poltica de Segurana da Informao na ELECTRA; Elaborao, treinamento e manuteno constante da Poltica de Segurana.
A administrao deve estabelecer uma diretriz de poltica bem definida e demonstrar o seu apoio e compromisso com a segurana da informao,
96
97
Devem ser definidas responsabilidades gerais e especficas pelo gerenciamento da segurana da informao, incluindo a comunicao de incidentes de segurana;
Devem existir referncias documentao que poder apoiar a poltica, como por exemplo polticas e procedimentos de segurana mais detalhados para determinados sistemas de informaes ou normas de segurana s quais os usurios devem obedecer.
98
3.2
Segurana organizacional
OBJETIVO: Administrar a segurana da informao dentro da ELECTRA, estabelecendo referencial de gerenciamento para implementao da segurana da informao na ELECTRA. O primeiro passo para a Segurana Organizacional a criao de um Comit de Segurana com lderes gerenciais, a fim de: Aprovar a Poltica de Segurana da Informao; Atribuir funes de segurana; Coordenar a implementao da segurana em toda a ELECTRA. Convm que o comit gestor faa pesquisas (as quais devem ser disponibilizadas para toda a ELECTRA), principalmente para: Acompanhar as tendncias do mercado; Monitorar as normas e mtodos de avaliao; Fornecer pontos de contato apropriados para tratar de incidentes de segurana. O Comit deve possuir abordagem multidisciplinar em relao segurana da informao e envolver a cooperao e colaborao de
99
gerentes, usurios, administradores, criadores de aplicativos, auditores e pessoal de segurana, ou seja, toda a ELECTRA; Convm que a ELECTRA nomeie um gerente de segurana da informao para assumir responsabilidade global pelo desenvolvimento e implementao da segurana e pelo apoio identificao dos controles. A responsabilidade pela obteno dos recursos e pela implementao dos controles poder ficar a cargo dos gerentes individuais; Deve ser nomeado um gestor para cada ativo de informao, que passar a ser responsvel pela segurana no dia-a-dia.
OBJETIVO: Promover a segurana dentro da ELECTRA, atravs de um compromisso apropriado e de recursos adequados. Pode ser parte de um rgo gerencial existente, desempenhando as seguintes funes: Reviso e aprovao da Poltica de Segurana da Informao e das responsabilidades globais; Monitorao de mudanas significativas na exposio dos ativos de informao a ameaas relevantes; Reviso e monitorao de incidentes de segurana;
100
Esta coordenao pode ser formada por representantes gerenciais de partes relevantes da ELECTRA para coordenar a implementao dos controles de segurana da informao.
101
documentados.
102
Deve haver intercmbio de informaes de segurana de modo restrito para garantir que no sejam divulgadas informaes confidenciais da ELECTRA a pessoas no autorizadas.
3.2.3
No existe um comit gestor especfico formalizado para implementao e manuteno da Segurana da Informao; Existe informalmente um grupo de segurana no departamento de rede; Atualmente, so realizados alguns contatos com especialistas externos em segurana e j se realizaram algumas palestras e reunies, mas ainda de forma incipiente; A monitorao de mudanas significativas na exposio dos ativos de informao tem sido observada atualmente como, por exemplo, ocorreu na centralizao dos almoxarifados regionais; Atualmente, existe uma grande preocupao por parte das gerncias com a segurana e existem iniciativas relevantes para aperfeioar a segurana da informao; Ainda no existe uma gerncia responsvel por todas as atividades relacionadas segurana (Comit Gestor de Segurana da Informao); No existe um contrato com organizao especializada em administrao dos riscos;
103
No existe atualmente um programa de conscientizao de segurana, com treinamentos especficos da Poltica de Segurana, palestras e peas; Atualmente, a segurana faz parte do processo do planejamento das informaes; Atualmente, existem polticas para vrios ativos como, por exemplo, utilizao de crachs e leitoras; Os gerentes responsveis por cada ativo ou processo de segurana, os detalhes das atribuies e responsabilidades s esto documentados via sistema, de forma passiva, e sem um plano de divulgao programado; Os nveis de autorizao esto claramente definidos e documentados tambm nesse mesmo sistema; Atualmente, no permitido o uso de equipamentos pessoais, mas esse fato ocorre esporadicamente;
104
Acesso de Terceiros
deficiente o controle sobre os terceiros que deixam de prestar servios ELECTRA, continuando, em alguns casos, com seus acessos ativos; Existem terceiros que prestam servios, que no esto localizados no site, mas podem ter acesso fsico e lgico.
Criar um Comit Gestor Especfico de Segurana da Informao com atribuio de funes e atividades; Criar, aprovar e divulgar a Poltica de Segurana Corporativa; Envolver a cooperao e colaborao de diretores, gerentes, usurios, administradores, criadores de aplicativos, prestadores de servios, fornecedores e auditores, incluindo a assinatura de um Termo de Compromisso com Poltica de Segurana; Nomear um gestor para cada ativo; Estabelecer pontos de contatos para tratar incidentes de segurana; O comit deve possuir uma abordagem multidisciplinar em relao segurana; Monitorar as mudanas significativas na exposio dos ativos de informao;
105
O acesso fsico e lgico de terceiros s instalaes de processamento de informaes da ELECTRA deve ser baseado em contrato formal que contenha referncia a todos os requisitos de segurana para assegurar a conformidade com as polticas e normas de segurana da ELECTRA A ELECTRA deve rever todos os contratos de terceiros que tenham acesso fsico e lgico, para implementar os requisitos de segurana dispostos na Norma ISO/IEC 17799; Estabelecer adendos nos contratos atuais de terceiros, disposies para a designao de outros participantes qualificados e as condies para o seu acesso. A cada dia esse tipo de procedimento torna-se comum. conhecido como contrato guarda-chuva; O nvel de acesso para terceiros, que ficam localizados no site durante um determinado tempo, deve ser definido em contrato, como por exemplo: pessoal de manuteno e suporte de hardware e software; pessoal de limpeza, guardas de segurana e outros servios de suporte terceirizados, estagirios e demais nomeaes ocasionais em curto prazo e consultores. O ideal exigir que os mesmos passem por treinamento de conformidade com a Norma ISO / IEC 17799, que trata da Gesto de Segurana nas Organizaes; S se deve conceder o acesso s informaes e s instalaes de processamento de dados por terceiros, aps a implementao de controles apropriados e assinado um contrato que defina as condies do acesso;
106
Deve-se especificar no contrato que a ELECTRA receber indenizao por parte de seu fornecedor, caso ocorra algum incidente causado por algum funcionrio do prestador de servios; Deve-se especificar no contrato que a ELECTRA ter direito de monitorar e revogar as atividades de usurio, o direito de auditar as responsabilidades contratuais ou de fazer com que tal auditoria seja realizada por um terceiro; Quanto ao uso de equipamento pessoal no ambiente de trabalho, convm que seja avaliado, autorizado e monitorado.
3.2.5 Plano de Ao
Geral
Nomear um Gerente de Segurana, criar um Comit Gestor de Segurana, contratar uma empresa especializada para auxiliar na elaborao da Poltica de Segurana da Informao com Marketing de divulgao e treinamento de conscientizao adequado; Criar a Classificao das Informaes; Implantar um Plano de Contingncia e PCN - Plano de Continuidade de Negcios; Reviso de todos os Contratos com Terceiros;
107
Exigir em contrato que o terceiro desenvolva treinamento de conformidade com a Norma ISO/IEC 17799.
Estabelecer pontos de contatos para tratar incidentes de segurana; Estabelecer uma contingncia junto organizao prestadora de servios de telefonia.
108
109
Designar um gestor para cada ativo de informao, que ser o responsvel pela sua segurana no dia-a-dia;
Definir claramente as reas de responsabilidade de cada Gerente; Identificar claramente os diversos ativos e processos de segurana associados a cada sistema individual;
Documentar as responsabilidades que cada Gerente tem sobre cada ativo ou processo de segurana;
110
111
Incluir nos contratos que concedem acesso a terceiros, disposies para a designao de outros participantes qualificados e as condies para o seu acesso;
Nos casos em que os negcios exigirem a conexo com um local de terceiros, deve ser realizada uma avaliao de riscos para identificar quaisquer requisitos de controles especficos, levando em conta o tipo de acesso necessrio, o valor das informaes, os controles utilizados pelo terceiro e as implicaes desse acesso para a segurana das informaes da organizao;
Deve existir uma poltica definida para terceiros que ficam localizados no site durante um determinado tempo, definido em contrato como: pessoal de manuteno e suporte de hardware e software; pessoal de limpeza, fornecimento de refeies, guardas de segurana e outros servios de suporte terceirizados, estagirios e outras nomeaes ocasionais em curto prazo e consultores;
O acesso s informaes e s instalaes de processamento de informaes por terceiros s deve ser concedido aps a implementao de controles apropriados e assinado um contrato que define as condies da conexo ou do acesso;
O acesso de terceiros s instalaes de processamento de informaes da organizao deve ser baseado em contrato formal que contenha referncia a todos os requisitos de segurana para assegurar a conformidade com as polticas e normas de segurana da organizao;
112
Especificar no contrato que a organizao receber indenizao por parte de seu fornecedor, caso ocorra algum incidente causado por algum funcionrio do prestador de servios;
Especificar no contrato que a organizao ter direito de monitorar e revogar as atividades de usurio, o direito de auditar as responsabilidades contratuais ou de fazer com que tal auditoria seja realizada por um terceiro;
Nos casos em que a responsabilidade pelo processamento das informaes for confiada a uma organizao externa, deve existir a tentativa de garantir a segurana das informaes.
3.3
113
Devem ser identificados os gestores de todos os ativos relevantes e deve ser atribuda a responsabilidade pela manuteno e controles apropriados; A responsabilidade pela implementao dos controles pode ser delegada;
114
Ativos de Informao
Arquivos de dados; Documentao de sistemas e manuais de usurio; Material de treinamento; Procedimentos operacionais ou de suporte; Planos de continuidade; Arranjos de fallback (recursos alternativos); Informaes arquivadas.
Ativos de Software
Software aplicativo; Software de sistema; Ferramentas de desenvolvimento e utilitrios.
Ativos Fsicos
Equipamentos de computador (processadores, monitores, laptops, modems);
115
Mdias magnticas (fitas e discos); Outros equipamentos tcnicos (fontes de alimentao, unidades de arcondicionado);
Mobilirio; Acomodaes.
Ativos de Servios
Servios de computao e de comunicaes; Utilidades pblicas em geral, como por exemplo, iluminao, aquecimento, gua, fora e ar-condicionado.
116
As prioridades; O grau de proteo. Algumas informaes so mais sensveis e crticas do que outras; Alguns itens podem exigir um nvel adicional de proteo ou manuseio especial;
Deve ser utilizado um sistema de classificao para definir um conjunto apropriado de nveis de proteo e comunicar a necessidade de medidas especiais de manuseio.
As diretrizes de classificao
informaes; Os impactos empresariais associados a tais necessidades, como acesso no autorizado ou danos integridade das informaes; A classificao atribuda constitui um meio abreviado para determinar como essa informao deve ser manuseada e protegida; As informaes e as sadas produzidas por sistemas que processam dados classificados devem ser rotulados quanto ao seu valor e grau de sensibilidade para a ELECTRA;
117
conveniente rotular as informaes para indicar at que ponto so crticas para a ELECTRA, quanto sua integridade e disponibilidade.
118
Destruio.
A sada produzida por sistemas que contenham informaes classificadas como sensveis ou crticas deve receber uma classificao apropriada (na sada). Os itens a serem levados em conta devem incluir relatrios impressos, displays na tela, informaes gravadas (fitas, discos, CD-Roms, cassetes), mensagens eletrnicas e/ou transferncias de arquivo.
119
Nomear um gestor responsvel para cada ativo da empresa analisada Compilar um inventrio dos ativos fsicos e lgicos; Identificar o valor dos ativos; Elaborar a classificao das informaes conforme a Norma ISO/IEC 17799;
Criar diretrizes de classificao; Criar procedimentos para alterao dos nveis de classificao; Definir procedimentos de rotulagem de informaes.
3.3.3 Plano de Ao
Geral
Implementar a Classificao das Informaes (a metodologia dever estabelecer Escalas dos Graus de sigilo e o Teor Crtico das informaes da ELECTRA, de modo a refletir a abrangncia de utilizao da informao):
120
121
122
123
Permitir que a classificao atribuda constitua um meio abreviado para determinar como a informao manuseada e protegida;
As informaes e as sadas produzidas por sistemas que processam dados classificados devem ser rotulados quanto ao seu valor e grau de sensibilidade para a organizao;
As informaes devem ser rotuladas para indicar at que ponto so crticas para a organizao, quanto sua integridade e disponibilidade.
124
A responsabilidade pela definio da classificao de uma determinada informao e pela reviso peridica desta classificao deve ser delegada pela pessoa que originou a informao ou do gestor designado da informao.
3.4
Segurana em pessoas
OBJETIVO:
125
Manter a segurana das instalaes de processamento de informaes e dos ativos de informao da ELECTRA acessados na organizao. O acesso lgico e fsico de deve ser rigidamente controlado; Nos casos em que os negcios exigem o acesso de terceiros, convm que seja feita uma avaliao de riscos para determinar as implicaes de segurana e os requisitos de controle, principalmente para sistemas crticos; Os controles devem ser acertados e definidos em um contrato de confidencialidade com os funcionrios da ELECTRA e os terceiros e seus funcionrios e sempre que houver substituio de seu pessoal ou movimentao interna que implique em mudana de responsabilidades, o sucessor deve assinar o contrato de confidencialidade e principalmente quando a empresa terceirizada subcontratar servios; Os contratos que concedem acesso a terceiros devem incluir disposies para a designao de outros participantes qualificados e as condies para o seu acesso.
126
Parceiros de negcios ou joint ventures, que podero fazer o intercmbio de informaes, acessar sistemas de informaes ou compartilhar os dados da ELECTRA.
127
3.4.1 Terceirizao
OBJETIVO: Manter a segurana da informao nos casos em que a responsabilidade pelo processamento das informaes da ELECTRA for confiada a uma organizao externa.
128
Os requisitos de segurana da organizao (que entrega a terceiros o gerenciamento e controle de todos ou de alguns dos seus sistemas de informaes e ambientes de rede e/ou desktops) devem ser tratados em um contrato celebrado entre as partes;
As condies apresentadas no item 4.2.2 da Norma ABNT ISO/IEC 17799 devem ser consideradas como parte desse contrato.
129
O direito de auditoria.
OBJETIVO: Reduzir os riscos de falha humana, furto, fraude e/ou uso indevido das instalaes. As responsabilidades devem ser atendidas desde a fase de recrutamento, includas nos contratos e monitoradas enquanto durar o vnculo empregatcio. Deve ser exigido do empregado o acordo por escrito de no divulgao das informaes.
130
Quando um cargo proporcionar acesso a equipamentos de processamento de informaes sensveis (informaes financeiras ou informaes altamente
confidenciais), deve-se observar: A situao de crdito do empregado. Para o pessoal em funes com grande autoridade repetir periodicamente a verificao; Processo de triagem similar deve ser realizado para subcontratados e pessoal temporrio. Nos casos em que terceiros so fornecidos por uma agncia, o contrato com a agncia deve especificar claramente as seguintes responsabilidades: Triagem e procedimentos de notificao que ela dever adotar se o processo de triagem no foi completado. Se os seus resultados derem motivo a dvidas ou a preocupaes;
131
Avaliar o grau de superviso necessrio para pessoal novo e inexperiente, com autorizao de acesso a sistemas sensveis;
O trabalho de todo o pessoal deve ser sujeito a exames peridicos e a procedimentos de aprovao por um membro mais graduado do quadro.
Os gerentes devem se dar conta do fato de que circunstncias pessoais dos seus subordinados podem afetar o trabalho dos mesmos e devem ficar atentos s seguintes situaes: Problemas pessoais e financeiros, mudanas de comportamento ou de estilo de vida, faltas constantes e sinais de estresse ou depresso poderiam levar a fraude, furto, erros ou outras implicaes de segurana; As informaes devem ser tratadas de acordo com a legislao apropriada, vigente na jurisdio em questo.
Compromissos de confidencialidade
Usam-se compromissos de confidencialidade ou no-revelao para indicar que determinadas informaes so confidenciais ou secretas; Empregados devem assinar tais compromissos como parte do seu contrato de trabalho; Pessoal temporrio e os usurios externos devem assinar compromisso de confidencialidade antes de terem acesso a instalaes de processamento de informaes. Devem-se rever os compromissos de confidencialidade sempre que:
132
Houver mudanas nas condies de emprego ou no contrato; Os empregados estiverem para sair da ELECTRA; Os contratos estiverem para terminar.
133
134
135
Indicar a necessidade de controles aperfeioados ou adicionais para: Limitar a freqncia; Limitar danos e custos de futuras ocorrncias; Levar em considerao no processo de reviso da poltica de segurana.
Processo disciplinar
Deve haver um processo disciplinar formal para empregados que violarem as polticas e procedimentos de segurana da ELECTRA e para a coleta de provas; O processo poder desencorajar empregados com tendncia para desrespeitar os procedimentos de segurana; O processo deve assegurar um tratamento correto e justo de empregados suspeitos de cometerem violaes de segurana, graves ou persistentes.
O contrato com terceiros possui clusulas de confidencialidade; O gerente da rea qual o terceiro est sendo contratado quem autoriza e define o nvel de acesso do mesmo;
136
Foi observado que em horrio de pico pode ocorrer certa dificuldade para as recepcionistas observarem se a pessoa entrou ou saiu sem autorizao;
O acesso de terceiros nos finais de semana e feriados controlado com antecedncia, sendo definido pelas gerncias;
Existem falhas na validade de logins e elas ocorrem entre o momento do desligamento do funcionrio e a comunicao do RH desse desligamento rea responsvel pela desativao. Nesse intervalo, o funcionrio continua possuindo o login (o empregado se desliga, mas seu login exigido por motivos de privilgio);
No h treinamento de segurana para o terceirizado; Todo acesso lgico de terceiros controlado e os nveis de permisso so concedidos pelas gerncias ao qual aquele terceiro est alocado;
Existem terceiros que prestam servios ao ambiente corporativo da ELECTRA e no esto localizados no site, mas podem ter acesso fsico e lgico.
Convm rever os contratos com terceiros, terceirizados e estagirios para uma perfeita adequao Norma, item 4.2.2, no qual todos devem assinar um termo de confidencialidade;
137
Convm exigir que as empresas prestadoras de servios da ELECTRA apresentem termos de confidencialidade assinados de cada funcionrio e/ou subcontratados;
Convm exigir que os terceiros e empregados sejam treinados conforme a Norma ISO/IEC 17799, que trata da Gesto de Segurana nas Organizaes e s conceder o acesso s informaes e s instalaes de processamento de dados por terceiros, aps a implementao de controles e treinamentos apropriados e tendo assinado um contrato que define as condies da conexo ou do acesso. Deve ser criada, na rea de treinamento, uma equipe para treinamento da ISO/IEC 17799;
Convm que mesmo quando o terceiro (ou funcionrio) esteja de frias, licena mdica ou qualquer afastamento, o acesso ao ambiente da ELECTRA se restrinja ao horrio comercial;
A excluso de login deve ser comunicada imediatamente quando ocorrer demisso de funcionrio por parte do RH ao Departamento de Administrao da Rede ou ao Departamento de Sistemas Corporativos;
Convm que sejam adotadas medidas de controle de acesso fsico (CFTV com monitorao remota, biometria etc.).
O acesso s informaes e s instalaes de processamento de informaes por terceiros s deve ser concedido aps:
138
Assinado um contrato que defina as condies do acesso. O contrato ser redigido de maneira a evitar mal-entendidos entre a ELECTRA e o terceiro;
A ELECTRA deve certificar-se de que receber uma indenizao por parte de seu prestador de servios, em caso de quebra de confidencialidade, integridade e incidente malicioso.
Os requisitos contratuais para prestadores de servios citados nesta Anlise e que constam no item 4.2.2 da norma ABNT ISO/IEC 17799 devem ser aplicados em carter de emergncia;
O sistema de dados de pessoas que freqentam o Data Center da ELECTRA deve conter o maior nmero de informaes e, se possvel, a fotografia, bem como cadastro e nome da empresa;
Exigir dos empregados e terceiros a assinatura de acordo com termo de confidencialidade e no-divulgao de informaes e concordncia com a Poltica de Segurana da ELECTRA;
Incluir no acordo as responsabilidades da funo; Convm que seja executada sempre uma triagem por ocasio da admisso de funcionrios e terceirizados, conforme o especificado no item 6.1.2 da ISO/IEC 17799.
Os gerentes devem ficar atentos a mudanas de comportamento; Convm que seja criada uma estrutura para ministrar treinamentos especficos de segurana. Deve haver treinamentos adequados para todos
139
os funcionrios e novos contratados antes de terem acesso s informaes e servios; Elaborar formulrios com histricos de falhas do ambiente, contendo a assinatura de quem identificou a falha e a ao que foi tomada; Toda falha deve ser comunicada gerncia imediatamente; Criar um Comit Disciplinar integrado por membros de equipe de segurana/gerncia/RH e um processo formal para empregados que violarem a poltica e o acordo de confidencialidade de informaes; Aprovar, em carter de emergncia, a Poltica de Segurana Corporativa das Informaes.
3.4.5 Plano de Ao
Geral
Analisar e promover as correes necessrias nos contratos de terceiros; Re-analisar e adequar todos os privilgios de acesso; Desenvolver procedimentos para desativao on-line de login de funcionrios que so transferidos, promovidos, demitidos ou suspensos; Realizar treinamento de segurana para funcionrios e terceirizados; Dotar reas crticas de monitorao via CFTV;
140
Adotar e/ou adequar a tecnologia de controle de acesso de funcionrios, terceirizados e visitantes, visando restringir fraudes e acesso no autorizado;
Como
incluir
segurana
nas
responsabilidades
da
funo
141
142
Deve ser verificado se na triagem e nos procedimentos de notificao que ela adota se o processo foi completado ou se os seus resultados do margem a dvidas ou a preocupao;
Os gerentes devem levar em conta o fato de que circunstncias pessoais dos seus subordinados podem afetar o trabalho dos mesmos, como problemas pessoais e financeiros, mudanas de comportamento ou de estilo de vida, faltas constantes e sinais de estresse ou depresso, que podem levar a fraude, furto, erros ou outras implicaes de segurana;
As informaes devem ser tratadas de acordo com a legislao apropriada, vigente na jurisdio em questo.
143
144
145
Os incidentes devem ser utilizados no treinamento de conscientizao dos usurios, sobre o que poderia acontecer, como reagir a tais incidentes e como evit-los no futuro.
146
Deve ser indicada a necessidade de controles aperfeioados ou adicionais para limitar a freqncia, os danos e o custo de futuras ocorrncias ou levar em considerao no processo de reviso da poltica de segurana;
147
148
3.5
OBJETIVO: O objetivo da Segurana Fsica e do Ambiente prevenir acesso no autorizado, dano e interferncia s informaes e instalaes fsicas das organizaes.
149
Ambiente de redes e teleprocessamento; Controle de acesso fsico; Piso elevado; Pavimentos estratgicos que contenham equipamentos de controle ou infra-estrutura.
150
Permetro de Segurana
Na proteo com barreiras fsicas em volta das instalaes da ELECTRA e dos equipamentos de processamento de informaes devem ser observadas as seguintes situaes: Cada barreira deve estabelecer um permetro de segurana onde cada uma delas contribui para o aumento da proteo total oferecida; Utilizar permetros de segurana para proteger as reas que contm equipamentos de processamento de informaes crticos; Um permetro de segurana algo que constitui uma barreira, uma parede, um porto de entrada controlado por carto, biometria ou ambos; O permetro de um edifcio ou site que contm reas crticas deve ser fisicamente slido e atender aos seguintes requisitos: No deve haver brechas no permetro de segurana ou reas que permitem uma penetrao fcil, tanto de pessoas quanto de fumaa, gases corrosivos, poeira, gua, fogo etc; As paredes externas devem ser de construo slida e as portas externas devem ser devidamente protegidas contra o acesso no autorizado, com mecanismos de controle, alarmes etc; Portas corta-fogo de um permetro de segurana devem ser equipadas com alarme e fechar automaticamente;
151
As barreiras fsicas devem se estender do piso bruto ao teto bruto para impedir o acesso no autorizado e contaminao ambiental.
152
A escolha e o projeto de uma rea segura devem levar em conta as possibilidades de danos causados pelos riscos ou vulnerabilidades;
Devem ser levadas em considerao eventuais ameaas segurana causadas por instalaes vizinhas, infiltraes, vazamento de gua proveniente de outra rea ou da prpria laje.
Devem ser considerados os seguintes aspectos: Os equipamentos crticos devem estar num local no acessvel ao pblico; Os prdios devem ser discretos e indicar o mnimo possvel a sua finalidade, sem sinais visveis, dentro ou fora do edifcio, que identifiquem a presena de atividades de processamento das informaes ou o nome da instituio; Funes e equipamentos de suporte (fotocopiadoras e aparelhos de fax) devem ficar num local apropriado dentro da rea segura para evitar pedidos de acesso que poderiam comprometer as informaes e dispor de senhas de controles de acessos para liberao de uso; As portas e janelas devem ficar trancadas quando no houver ningum presente e deve-se pensar em sensores de proteo externa para as janelas, principalmente as localizadas no pavimento trreo.
153
Controles
Implementar sistemas apropriados de deteco de intrusos, instalados segundo padres profissionais e testados regularmente, para cobrir todas as portas externas e as janelas acessveis; As reas no ocupadas devem ter um alarme armado permanentemente; Os equipamentos administrados pela ELECTRA devem ficar fisicamente separados dos equipamentos administrados por terceiros; As listas de pessoal e listas telefnicas internas que identificam a localizao dos equipamentos de processamento de informaes sensveis no devem ficar expostas e acessveis ao pblico; A proteo das instalaes considera que: Materiais perigosos ou combustveis devem ser armazenados de modo seguro e a uma distncia adequada de uma rea crtica; Os suprimentos em grande volume no devem ficar armazenados dentro de uma rea crtica, devendo ser requisitados medida que forem utilizados; Os equipamentos e mdia de backup devem ficar localizados a uma distncia segura para que no sejam danificados em caso de um acidente no site principal.
154
Atividades de terceiros
O pessoal s deve saber da existncia de uma rea segura e das atividades nela executadas quando for estritamente necessrio; Deve-se evitar o trabalho no supervisionado em reas seguras, por motivos de segurana; reas seguras desocupadas devem ser trancadas fisicamente e inspecionadas periodicamente; Suporte de terceiros ter acesso restrito s reas seguras ou aos equipamentos de processamento de informaes sensveis e somente quando necessrio; Acesso deve ser autorizado antes e monitorado; Devem-se criar barreiras e permetros adicionais de controle de acesso fsico entre reas com diferentes requisitos de segurana dentro do permetro de segurana; No deve ser permitida a presena de equipamento fotogrfico, de vdeo, de comunicao pessoal, de udio ou de outro equipamento de gravao, a menos que seja autorizado.
155
A rea de armazenagem provisria deve ser projetada de tal maneira que os suprimentos possam ser descarregados sem que o pessoal de entrega tenha acesso a outras partes do edifcio;
As portas externas de uma rea de armazenagem provisria devem ser trancadas enquanto a porta interna estiver aberta;
Todo material recebido deve ser inspecionado para detectar eventuais perigos antes de ser transportado da rea de armazenagem provisria ao local de utilizao;
Todo material recebido deve ser registrado ao entrar no site; As reas de entregas e de carregamento devem ser controladas e se possvel isoladas dos equipamentos de processamento de informaes, a fim de evitar o acesso no autorizado.
OBJETIVO: Impedir a perda, dano ou comprometimento de ativos e a interrupo das atividades da ELECTRA. Os equipamentos devem ser protegidos fisicamente contra as ameaas a sua segurana e contra os perigos ambientais;
156
A proteo dos equipamentos necessria para reduzir o risco de acesso no autorizado aos dados e para impedir que os equipamentos sejam perdidos ou danificados;
Devem ser implementados controles especiais para proteo contra perigos ou acesso no autorizado e para preservar os equipamentos de apoio, tais como o suprimento de energia e infra-estrutura de cabeamento.
157
Riscos da vizinhana
Um incndio em empresas ou ambientes vizinhos pode colocar em risco o seu ambiente de tecnologia; Grandes frentes de janelas oferecem caminho natural para a subida de chamas, o calor quebra os vidros e o ambiente penetrado por fumaa txica e pelas chamas; Canos de PVC, quando aquecidos, liberam gases a base de cloro e enxofre, que, em contato com a gua, reagem e se transformam em cido clordrico e sulfrico, que so txicos e corrosivos.
158
OBJETIVO: Providenciar suprimento adequado de eletricidade que atenda s especificaes do fabricante dos equipamentos. Devem ser providenciadas fontes alternativas para gerao de energia e observados os seguintes requisitos: Utilizar mltiplas fontes de alimentao para evitar que o suprimento dependa de uma nica fonte; Utilizar gerador de backup; Utilizar um suprimento prova de interrupes (UPS/no-break) para suportar a parada ordenada ou a continuao da operao, no caso de equipamentos que suportam operaes crticas para a ELECTRA; Planejar contingncia indicando as providncias a tomar em caso de falha do UPS (Uninterruptible Power Supply)/no-break; Testar regularmente o equipamento, de acordo com as recomendaes do fabricante, para assegurar que o mesmo tenha a capacidade adequada.
159
Gerador de backup caso se deseje que o processamento continue em caso de uma falta de fora prolongada e testes peridicos;
Suprimento adequado de combustvel para assegurar que o gerador possa operar durante um perodo prolongado;
Chaves de fora de emergncia localizadas perto das sadas de emergncia das salas de equipamentos para facilitar o desligamento rpido da fora em caso de emergncia;
Iluminao de emergncia para o caso de falta de fora; Existncia de pra-raios com filtros de proteo contra raios em todas as linhas externas de comunicaes;
Deve haver Gaiola de Faraday (cmara metlica com ligao a terra, que Faraday, famoso qumico e fsico ingls idealizou. um recinto metlico (gaiola ou cmara, conforme o caso) em cujo interior no podem penetrar emisses eltricas ou eletromagnticas.) e pra-raios Franklin (pra-raios tipo haste instalado no alto de edificaes ou das torres. Esse pra-raios oferece proteo para a edificao contida sob o cone de proteo cujo vrtice encontra-se no topo da haste captora. O que estiver dentro desse espao estar protegido. O ngulo de proteo variar de acordo com o nvel de proteo requerido, tipo de ocupao, valor do contedo, localizao e altura da edificao).
160
Segurana do cabeamento
Proteo contra interceptao ou danos, levando-se em considerao os seguintes aspectos: As linhas de fora e as linhas de telecomunicaes que entram nos equipamentos de processamento de informaes devem ser subterrneas, sempre que possvel ou ter uma proteo alternativa adequada; O cabeamento das redes deve ser protegido contra interceptao no autorizada ou danos (pelo uso de condutes ou evitando trajetos que passem por reas pblicas); Os cabos de fora devem ficar separados dos cabos de comunicaes para evitar interferncias.
161
OBJETIVO: Manuteno correta dos equipamentos para assegurar a sua disponibilidade e integridade permanentes. Devem obedecer aos seguintes requisitos: Os equipamentos devem receber manuteno com periodicidade correta e de acordo com as especificaes do fabricante; A manuteno e os reparos do equipamento s devem ser executados por pessoal autorizado; Deve ser mantido um registro de todos os defeitos suspeitos ou reais e de toda a manuteno preventiva e corretiva executada; Devem ser adotados controles apropriados quando equipamentos saem do site para fins de manuteno; Devem ser cumpridas todas as exigncias estipuladas nas aplices de seguros.
162
Devem ser observadas a qualquer tempo as instrues do fabricante para a proteo dos equipamentos como, por exemplo, contra a exposio a campos eletromagnticos intensos;
Os controles para o trabalho a domiclio devem ser determinados por uma avaliao dos riscos e adotados controles adequados conforme seja necessrio;
Deve haver uma cobertura de seguros adequada para proteger o equipamento quando fora do site;
Os riscos de segurana como danos, furto e olhares indiscretos podem variar consideravelmente entre um local e outro e devem ser levados em conta para determinar os controles mais apropriados;
O uso de qualquer equipamento fora das instalaes da ELECTRA, para fins de processamento de informaes, deve ser autorizado pela gerncia e o grau de segurana proporcionado deve ser equivalente ao do equipamento utilizado no site para os mesmos fins, levando-se em conta os riscos do trabalho fora das instalaes da ELECTRA;
O equipamento de processamento de informaes inclui todas as formas de computadores pessoais, agendas eletrnicas, equipamentos de comunicao pessoal, papel ou outros meios, que ficam na posse da pessoa para trabalho no domiclio ou que so transportados para fora do local normal de trabalho.
163
164
Deve-se levar em considerao as classificaes de segurana da informao, os riscos correspondentes e os aspectos culturais da ELECTRA;
As informaes deixadas em cima de mesas tambm podero ser danificadas ou destrudas em caso de catstrofes, como incndios, inundaes ou exploses.
Os documentos e mdias de computador devem ser armazenados em estantes apropriadas e cofres especiais quando no estiverem em uso, principalmente fora do horrio de expediente;
Informaes empresariais sensveis ou crticas devem ficar trancadas (preferencialmente em um cofre ou arquivo a prova de fogo) quando no em uso, principalmente quando no houver ningum no escritrio;
Os computadores pessoais e terminais de computador, bem como as impressoras, no devem ficar logged-on na ausncia do operador e devem ser protegidos por bloqueios de teclas, biometria, senhas ou outros controles quando no estiverem em uso;
Os postos de correspondncia recebida e enviada e as mquinas de fax devem ser protegidos quando o operador no estiver presente;
165
As copiadoras devem ser trancadas ou protegidas de algum outro modo contra o uso no autorizado fora do horrio normal de expediente;
Informaes sensveis ou confidenciais, quando impressas, devem ser retiradas das impressoras imediatamente.
Retirada de bens
Os equipamentos, as informaes ou o software no devem sair do site sem autorizao; Quando necessrio e apropriado, a sada e a devoluo dos equipamentos devem ser registradas; Devem ser feitas inspees por amostragem para detectar a retirada noautorizada de bens; Os usurios devem ser informados da existncia de tais inspees.
166
Veculos e pessoas
O prdio que abriga a ELECTRA e o seu Data Center dispe de grande rea de estacionamento em sua rea externa, que fica totalmente ocupada durante o expediente normal, devido ao expressivo nmero de pessoas que trabalham ou visitam o local e os demais edifcios prximos. Embora representado risco menor de incndio em automveis nesse estacionamento, no devem ser desconsiderados possveis prejuzos pelos gases emanados, que prejudicam mdias e equipamentos sensveis. O estacionamento interno situa-se no subsolo do prdio. Dispe de grande quantidade de vagas, grande parte delas abaixo do Data Center, representando alto risco relativamente a incndio em automveis, cujos gases podem afetar, direta ou indiretamente, os equipamentos sensveis.
Salas de escritrios
O prdio tem nove andares de escritrios. Existem vrias dependncias com papis e outros materiais combustveis e por onde transitam diariamente centenas de pessoas.
167
Vizinhana
Ao lado do prdio, localiza-se uma grande edificao comercial. Esse estabelecimento, bem como outros situados na redondeza, atraem muitos automveis e pessoas para as proximidades do Data Center da ELECTRA, configurando nesse sentido, juntamente com as outras ameaas descritas, uma vizinhana de alto risco.
As edificaes da ELECTRA
a) Estacionamentos Externo: O prdio que abriga a ELECTRA e o seu Data Center dispe de uma grande rea de estacionamento em sua rea externa, que fica totalmente ocupada durante o expediente normal, devido ao expressivo nmero de pessoas que trabalham no local e nos demais edifcios prximos.
168
Interno: situa-se no subsolo do prdio abaixo do Data Center, representando riscos relativos a incndio em automveis, cujos gases podem afetar, direta ou indiretamente, os equipamentos sensveis. b) Portarias Portaria principal: o primeiro contato com a ELECTRA realizado na portaria principal. A partir dela tem-se acesso direto aos elevadores que conduzem aos andares do prdio; A atuao das recepcionistas ou dos vigilantes da portaria uma triagem simples, na qual se solicita nome, identidade, origem, destino e outras pequenas observaes sobre o ingresso, que a partir da praticamente livre a todas s salas da ELECTRA. Data Center: atualmente o primeiro contato do visitante com o Data Center realizado na portaria situada na entrada do prprio Data Center, no 1 subsolo, onde existe um balco em forma de L, caracterizando um segundo nvel de proteo, geralmente com uma recepcionista e um vigilante (no final da tarde, normalmente com apenas um vigilante). Dispe de telefone e um computador, alm de um Registro de Visitante, documento preenchido com os dados do visitante e posteriormente arquivado por um ano na sala da segurana. Nessa portaria, possvel o controle de acesso entrada principal do Data Center, mas no o de uma outra porta que tambm pode permitir o acesso (apesar de estar predominantemente trancada), que a da sala de impresso, situada em frente ao auditrio. c) Demais dependncias
169
rea interna: paredes, portas, janelas, pisos, tetos, corredores, toaletes, elevadores, escadas internas e de emergncia, instalaes eltricas e hidrulicas: com poucas excees, o estado geral dessas edificaes no satisfatrio. As escadas de emergncia no atendem s normas de segurana e esto com os seus pilares metlicos com algum comprometimento por oxidao. As instalaes eltricas do local esto sendo revistas. Telhados: a cobertura constituda de laje de concreto armado e coberta com telhado de amianto, visando direcionar a gua das chuvas para calhas; Aparentemente, h muito tempo no se realiza uma impermeabilizao nessas coberturas, que, apesar disso, ainda apresentam bom estado de conservao; As calhas de guas pluviais esto limpas e desimpedidas, mas foi observada gua empoada na parte central da cobertura, sobre uma sala que dispe de equipamentos de monitoramento de servios de infra-estrutura;
170
Salas de segurana, pool de mensageiros, reprografia, arquivo, laboratrio de microfilmagem e no-break tm acesso pelo corredor central da rea no crtica do Data Center. Outras salas: ainda junto rea do Data Center, porm fora da rea sensvel, situam-se o auditrio, biblioteca, videoconferncia, arquivo geral, depsito do almoxarifado, servios gerais, sala da administrao do almoxarifado etc.
Localizao
O Data Center est localizado no subsolo do prdio, cuja edificao no foi construda especificamente para abrigar um Data Center.
Edificaes
Pelas suas prprias atividades do dia-a-dia, as reas da edificao onde se situa o Data Center no configuram um permetro de segurana adequado. As barreiras e as portas controladas por vigilantes de segurana necessitam de controles compatveis com os riscos dessa rea crtica
Paredes externas
Esto em bom estado de conservao.
Paredes internas
As que circundam a rea crtica, em alvenaria, esto em bom estado de conservao.
171
Portas
Existem brechas no permetro de segurana, como por exemplo: No existem portas corta-fogo dotadas de alarme e fechamento automtico; A porta da sala de impresso permite acesso rea crtica (apesar da mesma estar predominantemente fechada); Uma portinhola (pequena abertura na parede) da sala do no-break para a sala das mquinas do ar-condicionado pode permitir acesso indevido pela sala do no-break; A porta de vidro, prxima dos elevadores, no corredor da entrada do Data Center pode permitir, no mnimo, que um curioso mal-intencionado trace um croqui da localizao dos equipamentos crticos do Data Center, para posterior intruso; O suporte de terceiros dever ter acesso restrito s reas seguras ou aos equipamentos de processamento de informaes sensveis e somente quando necessrio; Todos os itens citados constituem, direta ou indiretamente, brechas na segurana para penetrao de intrusos ou para gases, fumaa, fogo, gua, poeira etc.
172
Divisrias internas
So constitudas de frmica e vidro, que so materiais no resistentes ao fogo. No so fechadas de laje a laje, o que facilita o acesso indevido sob as placas do piso elevado e tambm no impedem penetrao de fogo ou gases de salas vizinhas.
Portas internas
So extenses das divisrias e, portanto, frgeis. Na rea sensvel, no so mantidas trancadas e nem dispem de acesso somente ao pessoal autorizado. As que esto junto com as divisrias sobre todo o piso elevado necessitam que, abaixo e acima delas, haja o mesmo cuidado sugerido para as divisrias; A porta da entrada do Data Center, que tambm pode ser improvisada como sada de emergncia, d para o corredor externo rea crtica e nesse h facilidade de evacuao. Entretanto, os corredores internos de circulao das salas da rea crtica so muito apertados, o que certamente dificultaria uma evacuao de pessoal em caso de emergncia.
173
Instalaes eltricas
A rede, o quadro de fora do subsolo e as instalaes eltricas que servem ao Data Center apresentam bom estado de conservao e so adequadas.
No-break
O no-break, apesar de ser um modelo antigo, tem atendido ao Data Center. Todavia, em caso de interrupo de fornecimento de energia por perodos mais longos, haver necessidade de se contar com um grupo gerador, principalmente para atender climatizao da sala de segurana que a ELECTRA planeja instalar para o Data Center;
Cabeamento Lgico
No existem sistemas de varredura no cabeamento para detectar a presena de dispositivos no autorizados; O cabeamento, sob o piso elevado, no est adequadamente disposto. H cabos lgicos misturados com eltricos, o que pode causar interferncias.
174
Combate a incndio
Existe, entre os que prestam servios no Data Center, a preocupao em atender s normas de segurana, como um todo, mas uma das principais, relativa solicitao para no fumar no ambiente, no est sendo observada; Foram encontradas pontas de cigarro em muitas latas de lixo e uma ponta de cigarro sob o piso elevado; Existem hidrantes nos corredores externos, que tm recebido manuteno peridica; As mangueiras esto corretamente desenroscadas do tubo, mas devem ser dotadas de bico regulvel e estarem dimensionadas de forma a alcanar todos os ambientes existentes; Os extintores de incndio so adequados, de fcil acesso, mas nem sempre se encontram nos lugares demarcados; O piso elevado composto de material que propaga chamas; As cestas de lixo so convencionais e sem tampa, inclusive as maiores, das salas de impresso, que so usadas para recolher papis; No constatamos armazenamento, no almoxarifado, no mesmo ambiente, de lquidos inflamveis e papis; Existem painis de controle de incndio e quadros apropriados de fora;
175
Existem detectores convencionais de fumaa na rea sensvel, mas no piso no h sinalizao da localizao dos mesmos;
No existem sensores de umidade e temperatura; Existem quadros de controle para detectar fumaa e fogo, mas esto desatualizados;
No existe alarme de incndio que toque na vigilncia; No existe um sistema de alarme para evacuao; No existe combate automtico de incndio com gs especfico; No existe uma brigada de incndio adequada no prdio.
Climatizao
As instalaes de ar-condicionado esto em bom estado de conservao. Segundo os funcionrios da ELECTRA que fazem a sua manuteno, o sistema est funcionando com folga. H um pleno, que lana o ar diretamente sob o piso elevado e dutos para as demais salas; O equipamento de ar-condicionado que serve ao Data Center dotado de oito mquinas. Normalmente, redundantes; H necessidade de uma reviso no insuflamento do ar-condicionado para algumas salas do Data Center, que estavam com temperatura elevada, quatro funcionam e quatro so
176
gerando reclamao de alguns funcionrios e possibilitando paradas nos equipamentos; Foi tambm constatado que a torre, externa, de resfriamento ser reformada e que os filtros de gua so lavados quinzenalmente. Os equipamentos esto instalados em compartimento fechado, com acesso somente ao pessoal autorizado, mas localizam-se do lado de fora, carecendo de maior proteo;
Controle de Acesso
O controle de acesso de funcionrios realizado por meio de carto magntico, que no tem a finalidade de segregar o acesso a reas de outras funes, principalmente no Data Center. Atualmente, qualquer pessoa, visitante ou funcionrio, no ter maiores dificuldades de entrar em dependncias da ELECTRA, caracterizando um grande risco para a segurana, pois as reas deveriam ser protegidas com grau de permisso de acesso. No h circuito fechado de televiso (CFTV), mas existe projeto para esse coadjuvante da segurana predial.
177
Constatamos, em anlise nos sacos de lixo do Data Center, e em lixeiras do arquivo, documentos importantes, misturados a lixo comum, que seriam descartados na lixeira geral do prdio.
178
Devem haver catracas com controle de acesso; Deve-se manter em segurana uma trilha de auditoria contendo todas os acessos ocorridos, com gravao remota on-line.
Uso de Crachs Deve ser obrigatrio, no somente para se evitar o acesso indevido, mas em qualquer situao, o uso de cartes com PIN ou crachs por qualquer pessoa que esteja transitando no interior da ELECTRA; Deve tambm ser obrigatrio que todos os funcionrios, sem exceo, portem carto de identificao ou crach, em local visvel e que sejam incentivados a informar segurana sobre a presena de qualquer pessoa no identificada ou de qualquer estranho no acompanhado. Circuito fechado de TV Todas as portarias, salas, corredores, escadas, entradas e sadas, passagens, estacionamentos, reas de carga e descarga e principalmente os demais pontos crticos de toda a ELECTRA devem ser monitorados por CFTV, com avisos claros, visando desestimular eventuais intrusos; O CFTV deve possuir tecnologia de modo que as informaes sejam monitoradas e gravadas remotamente; Devem-se utilizar monitores vigiados em sistema multiplexador numa sala da segurana, bem como gravar as suas imagens em time lapse. Esse equipamento deve ser mantido trancado em local seguro, com porta dotada de controle de acesso, a fim de se evitar extravio de fitas;
179
Convm que o cabeamento do CFTV seja protegido contra cortes, intencionais o ou acidentais.
Demais dependncias Janelas do 1 andar: recomendvel que sejam reforadas, j que podem permitir acesso indevido; Escadas de emergncia: No atendem s normas de segurana; so enclausuradas e sem corrimos.
Segurana Mxima
A literatura da segurana da informao define a disposio fsica ideal dos Data Center, orientando que as instalaes mais sensveis sejam localizadas no centro, e as demais, de acordo com a sensibilidade, dispostas do centro para fora, configurando camadas concntricas de segurana. Dentre diversos aspectos, solues tcnicas pertinentes so agregadas para fornecimento de energia, gua e esgoto, climatizao, combate a incndios e detalhes muitas vezes desprezados em edificaes comuns, como a escolha de material de acabamento resistente e retardante ao fogo. Em funo do exposto acima e levando-se em considerao que a edificao que abriga o Data Center no especfica para essa finalidade e principalmente pela
180
vizinhana de alto risco, convm que todas as recomendaes expostas nesta anlise sejam consideradas e implementadas no mais curto prazo possvel.
Identificao Visual
Num centro de processamento de dados, sempre se deve considerar ao mximo o item segurana. Quanto mais discreta for a programao visual do prdio, menos interesse despertar. As identificaes devem se limitar a informar sobre as direes a serem tomadas, avisar sobre locais de acesso restrito e indicar as sadas de emergncia. Existem autores que chegam a defender o conceito de que um rgo sensvel como um Data Center no deve ter qualquer identificao, nem mesmo das salas e departamentos. Convm que seja retirada qualquer identificao relativa ao Data Center. O propsito dificultar a ao de pessoas mal intencionadas; Devem estar publicados em local visvel os procedimentos quando da ocorrncia de um incidente, assim como, os telefones das reas de suporte e emergncia.
181
Portinhola (pequena abertura na parede) da sala do no-break para a sala das mquinas do ar-condicionado deve ser fechada por uma porta, a qual deve ser do tipo grelha para permitir ventilao rea do no-break;
A porta do corredor de circulao do Data Center deve ser substituda por uma porta metlica, dotada de alarme sonoro e tranca interna, para que sirva como uma sada de emergncia. A finalidade da estrutura metlica, em substituio ao vidro atual, tambm impedir que intrusos tenham viso panormica da rea sensvel do Data Center, que hoje possvel;
Observao: Os itens citados acima constituem, direta ou indiretamente, brechas na segurana para penetrao de intrusos ou para gases, fumaa, fogo, poeira, radiao etc.
182
recepo interna e que estejam atentos e informem imediatamente vigilncia interna ou central de segurana qualquer atitude ou pessoa suspeita nas imediaes.
Controle de Acesso
Que o contato inicial com o Data Center disponha de uma portaria mais abrangente para um rgido controle de acesso, no qual possa ser efetuada melhor triagem dos visitantes, com guardas masculinos e femininos em estreita colaborao. O controle de acesso fsico tem por objetivo a segurana de acesso a reas delimitadas, salas de computadores e de arquivos, centrais de instalaes e demais equipamentos; necessrio que, na triagem se confiram a identidade e o seu dono e no apenas se pergunte o nmero do documento. E que sejam tambm registradas data e hora de entrada e sada; Usar controles de autenticao, como por exemplo, cartes com PIN (nmero de identificao pessoal ou Personal Identification Number), que permitem validar qualquer acesso; Instalar cancelas com catracas com controle de acesso; Manter em segurana uma trilha de auditoria contendo todos os acessos ocorridos, com gravao remota on-line.
183
Uso de Crachs
Deve ser obrigatrio, no somente para se evitar o acesso indevido, mas em qualquer situao, o uso de cartes com PIN ou crachs por qualquer pessoa que esteja transitando no interior das instalaes crticas; Todos os funcionrios, sem exceo, dever portar carto de identificao ou crach, em local visvel e que sejam incentivados a informar segurana sobre a presena de qualquer pessoa no identificada ou de qualquer estranho no acompanhado.
184
Guaritas de vigilncia
Estudar, a instalao de pelo menos uma guarita de vigilncia, discreta, situada no vrtice do trreo. A finalidade obter uma viso ampla das duas laterais vulnerveis da rea externa do Data Center; Essa vigilncia deve ser exercida principalmente nos horrios fora do expediente. Dever ser auxiliada por sensores de presena com alarme sonoro e complementadas com um bom sistema de iluminao de todo o permetro externo, com holofotes dotados de foco dirigido de dentro para fora, a fim de no ofuscar os guardas e para atrapalhar a viso de possvel invasor; No interior do prdio, na rea externa rea crtica, tambm deve haver vigilncia, principalmente nos horrios fora do expediente.
Circuito Fechado de TV
Recomenda-se que todas as portarias, salas, corredores, escadas, entradas e sadas, passagens, estacionamentos, reas de carga e descarga e principalmente os demais pontos crticos de todo o Data Center devem ser monitorados por CFTV, com avisos pertinentes, visando desestimular eventuais intrusos;
185
Recomenda-se que o CFTV possua tecnologia que permite que as informaes sejam monitoradas e gravadas remotamente via TCP/IP;
Utilizar monitores vigiados em sistema multiplexador pelos guardas de segurana, de preferncia na sala da segurana. Gravar as suas imagens em time lapse, cujo equipamento deve trancado em local seguro, com porta dotada de controle de acesso, a fim de se evitar extravio de fitas, com alta disponibilidade, isto , dotado de equipamentos redundantes;
Recomenda-se que o cabeamento do CFTV seja protegido contra cortes, intencionais o ou acidentais.
186
Adotar poltica de mesa vazia e tela vazia para reduzir o risco de acesso no autorizado ou danos a documentos, mdias e instalaes de processamento de informaes.
Piso Elevado
Substituir todo o piso elevado da rea do Data Center em funo do piso atual estar desnivelado colocando em risco o desempenho dos equipamentos e os operadores, em mal estado devido ao tempo de uso e principalmente por ser de material que propaga chamas.
Incndio
Instalar equipamentos de deteco precoce de incndio. Os existentes na ELECTRA, devido a sua tecnologia ultrapassada, s atuam quando se tem fumaa. Os equipamentos a laser atuam pelas partculas suspensas no ar. Instalar combate automtico de incndio com Gs FM 200 (este gs mantido em cilindros, sob presso como um lquido, que minimiza o espao de armazenagem, e liberado como um gs, de modo a cobrir todos os pontos da rea protegida. O FM200 suprime o fogo em at 10 segundos, impedindo a reao qumica que nele ocorre. O FM-200 adequado para aplicaes em reas ocupadas por seres humanos, nas concentraes aprovadas pela NFPA-2001. Por ser to seguro para as pessoas, est sendo utilizado como propulsor em inaladores mdicos) interligado ao equipamento de deteco de incndio.
187
Cofres
Recomenda-se a aquisio de cofres especficos para armazenamento de dados para proteo das mdias contra fogo, poeira, gases corrosivos, campos eletromagnticos, radiaes, furto etc;
188
Na situao atual convm que se instale controle de acesso na porta principal, detector de incndio e combate automtico, bem como monitorao de temperatura e desumidificao do ambiente e principalmente que se desenvolva uma classificao de todas as informaes que saem da ELECTRA para a empresa terceirizada de guarda de documentos.
Videoconferncia
Existe a necessidade de se investir tambm em equipamentos de deteco de incndio no piso elevado.
189
Riscos de incndio
Proibir terminantemente fumar no interior do Data Center. notrio o cheiro de fumaa de cigarro na sua rea interna, logo que se passa pela porta principal, no incio do corredor. Foi constatado que sempre h muitas pontas de cigarro nas lixeiras das salas; Promover uma conscientizao do pblico interno sobre a total incompatibilidade entre cigarros ou similares e o ambiente
computacional, no somente pelo risco de incndio, mas porque a fumaa prejudica mdias e equipamentos; Substituir cestas de lixo atuais existentes nas salas do Data Center por metlicas e com tampa, bem como substituir por containeres metlicos com tampa as caixas atualmente usadas para juntar grande quantidade de papel na sala de impresso; Criar um novo layout para a circulao entre as salas internas. Tal medida deve permitir corredores mais amplos e at mesmo melhor disposio das salas, visando a sada de emergncia sugerida, que a porta principal do Data Center, saindo para a rea dos elevadores; No armazenar, no mesmo andar do Data Center, os suprimentos, tais como papis, materiais de consumo etc; Orientar aos faxineiros para terem todo o cuidado com o uso de gua e outros produtos lquidos de limpeza no piso elevado e nos equipamentos;
190
Providenciar recarga de extintores de incndio, sempre que necessrio, com o cuidado na contratar firma idnea e solicitar que a recarga seja realizada na presena de um funcionrio da ELECTRA.
Climatizao
Ligar os compressores do ar-condicionado conforme recomendaes tcnicas, mantendo os aparelhos redundantes em condies de operao; Realizar testes peridicos; Substituir, na sala do banco de dados, se for mantido o piso elevado atual, duas placas fechadas de piso por placas perfuradas, a fim de melhorar o insuflamento do ar no ambiente; Reformar a torre de resfriamento e limpar/trocar os filtros de gua no prazo recomendado pelo fabricante, como est sendo realizado atualmente; Vistoriar, periodicamente, as torres de resfriamento, que se encontram instaladas em rea externa. Diferentemente dos equipamentos do ar, que esto instalados em compartimento fechado, com acesso somente ao pessoal autorizado, pois as torres necessitam maior proteo.
191
Manter a porta da sala de mdias fechada e instalar controle de acesso; Adquirir cofres de proteo de mdias; Adquirir equipamento apropriado para transporte das mdias.
3.5.7 Plano de Ao
Geral
Implementar as alteraes sugeridas no layout disponvel no APNDICE A;
192
Estudar a implantao de sala de segurana (sala-cofre); Instalar cofre para guarda de mdias; Instalar CFTV em pontos estratgicos; Proibir fumar no Data Center; Instalar deteco precoce de incndio com combate automtico de gs FM 200;
Instalar equipamento de monitorao remota da rede; Instalar controle de acesso em salas de ambientes alta criticidade; Instalar grupo gerador;
193
Deve existir poltica de mesa vazia e tela vazia para reduzir o risco de acesso no autorizado ou danos a documentos, mdia e instalaes de processamento de informaes.
194
As portas externas devem ser devidamente protegidas contra o acesso no autorizado, com mecanismos de controle, barras, alarmes, fechaduras etc;
Deve existir uma rea de recepo com pessoal ou outro meio de controle do acesso fsico ao site ou ao edifcio;
Somente pessoal autorizado poder ter acesso aos sites e edifcios; As barreiras fsicas devem ser estendidas do piso bruto ao teto bruto, para impedir o acesso no autorizado e contaminao ambiental;
Devem existir portas corta-fogo no permetro de segurana e elas devem ser equipadas com alarme e fechar automaticamente.
195
196
As portas e janelas ficam trancadas quando no h ningum presente; Devem ser implementados sistemas apropriados de deteco de intrusos, instalados segundo padres profissionais e testados regularmente, para cobrir todas as portas externas e as janelas acessveis;
As
reas
no
ocupadas
devem
dispor
de
alarme
armado
permanentemente; Equipamentos administrados pela organizao devem ficar fisicamente separados dos equipamentos administrados por terceiros; As listas de pessoal e listas telefnicas internas que identificam a localizao dos equipamentos de processamento de informaes sensveis no podem ficar em local acessvel ao pblico.
197
Deve ser evitado o trabalho no supervisionado em reas seguras, tanto por motivos de segurana como para no dar oportunidade a atividades mal-intencionadas.
198
199
Devem ser adotados controles para minimizar o risco de ameaas potenciais, incluindo furto, incndio, explosivos, fumaa, gua (falha no abastecimento), poeira, vibrao, efeitos qumicos, interferncia no suprimento de fora, radiao eletro-magntica;
Devem ser levados em conta o impacto de um acidente em instalaes prximas, como por exemplo um incndio no prdio vizinho, vazamento de gua do telhado ou em pavimentos do subsolo ou uma exploso na rua.
200
Deve existir planejamento de contingncia indicando as providncias a tomar em caso de falha do UPS;
Devem ser realizados testes regulares dos equipamentos para assegurar que ele tenha a capacidade adequada;
Bancada de baterias, risco de exploso e falha do equipamento (corresponde ao item 11 do questionrio - APNDICE B)
Deve ser providenciado um gerador de backup para que o processamento continue em caso de uma falta de fora prolongada.
Estocagem do leo diesel e manuteno da sua qualidade, muretas de conteno (corresponde ao item 11.2 do questionrio - APNDICE B)
Os geradores devem ser testados regularmente de acordo com as instrues do fabricante; Deve existir suprimento adequado de combustvel para assegurar que o gerador possa operar durante um perodo prolongado; As chaves de fora de emergncia devem estar localizadas perto das sadas de emergncia das salas de equipamentos; Deve existir iluminao de emergncia para o caso de falta de fora; O prdio deve ser equipado com pra-raios;
201
Devem existir filtros de proteo contra raios em todas as linhas externas de comunicaes;
202
Manuteno
dos
equipamentos
(corresponde
ao
item
13
do
questionrio - APNDICE B)
Os equipamentos devem receber manuteno correta para assegurar sua disponibilidade e integridade permanente; Os equipamentos devem receber manuteno com a periodicidade e de acordo com as especificaes recomendadas pelo fabricante; A manuteno e os reparos do equipamento somente devem ser executados por pessoal de manuteno autorizado; Deve ser mantido um registro de todos os defeitos suspeitos ou reais e de toda a manuteno preventiva e corretiva executada; Devem ser adotados controles apropriados quando equipamentos saem do site para fins de manuteno; Devem ser cumpridas todas as exigncias estipuladas nas aplices de seguros.
Segurana dos equipamentos fora das instalaes (corresponde ao item 14 do questionrio - APNDICE B)
O uso de qualquer equipamento fora das instalaes da organizao, para fins de processamento de informaes, precisar ser autorizado pela gerncia anteriormente;
203
O grau de segurana proporcionado deve ser equivalente ao do equipamento utilizado no site para os mesmos fins, levando em conta os riscos do trabalho fora das instalaes da organizao;
O equipamento de processamento de informaes (todas as formas de computadores pessoais, agendas eletrnicas, telefones celulares, papel ou outros meios) que ficam na posse da pessoa para trabalho a domiclio ou que devem ser transportados para fora do local normal de trabalho devem ter procedimento de segurana;
Os equipamentos e as mdias retirados das instalaes da organizao devem ter superviso em lugares pblicos;
Os computadores portteis devem ser transportados como bagagem de mo e disfarados sempre que possvel;
Devem ser observadas a qualquer tempo as instrues do fabricante para a proteo dos equipamentos (ex.: proteo contra a exposio a campos eletromagnticos intensos);
Os controles para o trabalho a domiclio devem ser determinados por uma avaliao dos riscos, e devem ser adotados controles adequados conforme necessrio (ex.: arquivos de ao trancados, poltica de mesa vazia e controles de acesso a computadores);
Deve existir uma cobertura de seguros adequada para proteger o equipamento quando fora do site.
204
Segurana
no
descarte
ou
na
reutilizao
de
equipamentos
205
206
Informaes empresariais sensveis ou crticas devem ficar trancadas (preferivelmente em um cofre ou arquivo prova de fogo) quando no em uso, principalmente quando no houver ningum no escritrio;
Os postos de correspondncia recebida e enviada e as mquinas de fax e telex sem a presena do operador devem ser protegidos;
As copiadoras devem ser trancadas (ou protegidas de algum outro modo contra o uso no autorizado) fora do horrio normal de expediente;
Informaes sensveis ou confidenciais, quando impressas, devem ser retiradas das impressoras imediatamente.
207
208
Deve existir vedao de passagens para outros recintos ou andares (dutos de ar-condicionado, cabos, monta-carga etc.);
O edifcio que abriga o Data Center deveria ser construdo com material retardante e resistente ao fogo;
Deve existir sensor de temperatura e umidade do ar; Devem existir quadros de controle pare detectar rapidamente e localizar fogo e fumaa;
As placas do piso falso devem ser facilmente removveis para permitir verificao de fogo e fumaa;
O alarme de incndio deve tocar na vigilncia; Devem existir hidrantes instalados em locais estratgicos nos andares dos prdios;
Havendo necessidade, os carros do Corpo de Bombeiros devem ter acesso fcil a qualquer lado do prdio;
209
As placas do piso falso devem ser de material retardante; Deve existir reserva tcnica de gua para hidrantes; Devem existir plantas de localizao dos extintores e detectores; Os alarmes de incndio devem ser alimentados por baterias, no caso de falha no fornecimento de energia.
Condies de gerais de segurana relacionados com a edificao (corresponde ao item 24 do questionrio - APNDICE B)
Deve existir sensoriamento de portas, janelas, dutos e superviso predial; Deve existir sala central de controle de segurana bem localizada e com qualificao pessoal; O monitoramento do permetro e reas externas ao prdio deve ser feito via CFTV; Deve existir um servio de vigilncia de 24 horas, inclusive nos fins de semana e feriados; As sadas de emergncia devem ser verificadas em relao usabilidade periodicamente; As portas para a rea do Data Center devem ser mantidas fechadas; Devem existir alarmes para informar vigilncia a violao de portas e acessos a reas do Data Center;
210
Condies
gerais
de
segurana
relacionados
com
evacuaes
Disposio e infra-estrutura das edificaes destinadas funo (corresponde ao item 26 do questionrio - APNDICE B)
Quadros de luz e iluminao devem estar localizados em local adequado; Deve existir controle de rudos nas imediaes do permetro; Deve existir controle de temperatura nas imediaes do permetro;
211
Os incidentes de segurana devem ser investigados para apurao da causa e tomada de ao corretiva.
212
Ar-condicionado APNDICE B)
(corresponde
ao
item
28
do
questionrio
A qualidade das instalaes e manuteno dos equipamentos e nvel de rudo deve ser satisfatria;
As chaves de emergncia devem desligar o sistema de ar-condicionado; O sistema de climatizao deve ser exclusivo; No deve ser compartilhado com rea e/ou tipo de equipamentos inadequados;
Deve haver redundncias (e reservas) e simulaes peridicas; As aberturas externas (troca de ar) devem proporcionam uma adequada renovao;
Devem existir dampers corta-fogo e gases no interior dos dutos; Os equipamentos de ar-condicionado devem estar instalados em compartimentos fechados (com acesso somente a pessoal autorizado);
213
Devem existir alarmes nos sistemas de ar-condicionado; Os dutos do ar condicionado devem ser de material retardante; Os instrumentos de comando do sistema de ar-condicionado devem estar protegidos evitando manuteno no-autorizada;
Condies gerais de segurana relacionados com suprimento de gua (corresponde ao item 28 do questionrio - APNDICE B)
O prdio deve estar em boas condies em relao a goteiras; O prdio deve estar em boas condies em relao umidade, infiltraes e vazamentos de canalizaes; Deve ser garantida a continuidade do suprimento (existncia a capacidade do reservatrio); Deve ser garantida a qualidade das instalaes hidrulicas (vazamentos, infiltraes); Devem existir plantas atualizadas da rede hidrulica; A localizao das tubulaes e as condies dos materiais utilizados devem ser satisfatrias; Os telhados e a laje devem estar em boas condies;
214
O subsolo sofre algum tipo de interferncia; Quanto drenagem sob o piso elevado, a proteo em relao ao piso superior deve estar em boas condies;
Os encanamentos, exceto os necessrios, devem ser retirados do piso falso em reas sob o computador;
Os condutes devem ser a prova d'gua; Deve existir vedao adequada contra infiltrao de gua nas portas externas;
A vedao deve ser adequada contra infiltrao de gua nas janelas externas;
Deve existir escoamento de gua e drenagem adequada para impedir inundao na sala do computador;
A sala do computador deve possuir impermeabilizao adequada do teto, impedindo infiltrao de gua.
3.6
Conformidade
OBJETIVO: Evitar violaes de leis penais ou cveis, de obrigaes decorrentes de estatutos, regulamentos ou contratos e de quaisquer requisitos de segurana em:
215
A ELECTRA est sujeita a exigncias de segurana decorrentes de estatutos, regulamentos ou contratos; Deve-se realizar consultoria sobre exigncias legais especficas junto ao departamento jurdico da ELECTRA ou com advogados externos devidamente qualificados; As exigncias legislativas variam de um pas para outro e para informaes criadas em um determinado pas e transmitidas para um outro pas - fluxos de dados que atravessam fronteiras.
216
3.6.1
Deve apoiar as atividades essenciais da ELECTRA: Pode ser exigido para comprovar que uma empresa opera de acordo com as normas da lei ou de rgos reguladores; Deve assegurar uma defesa adequada em um eventual processo civil ou criminal; Confirma a situao financeira de uma empresa para os seus acionistas, scios e auditores. Evidencia que o perodo de reteno das informaes e os dados a serem conservados podem ser estabelecidos pelas leis ou regulamentos do pas. Os registros devem ser classificados em categorias como registros contbeis, de empresas de dados, de transaes, de auditoria e de procedimentos operacionais. Cada tipo de registro ter exigncias especficas quanto ao perodo de reteno e tipo de veculo de armazenagem:
217
Papel, microficha, suportes magnticos ou pticos; Chaves de criptografia associadas a arquivos codificados ou assinaturas digitais devem ser guardadas com segurana e colocadas disposio das pessoas autorizadas quando necessrio;
Deve ser permitida a destruio apropriada dos registros aps a expirao do perodo de reteno, se no forem mais necessrios ELECTRA;
Para cumprir essas obrigaes, devem-se adotar as seguintes providncias: Emitir diretrizes sobre a reteno, armazenagem, manuseio e descarte de registros e informaes; Elaborar programa de reteno que identifique os tipos dos registros essenciais e por quanto tempo eles devem ser conservados; Manter inventrio das fontes de informaes-chave; Implementar controles apropriados para proteger registros e informaes essenciais contra perda, destruio e falsificao.
218
Sempre que essa ao for um assunto disciplinar interno, a prova necessria ser descrita pelos procedimentos internos. Nos casos em que a ao envolve a legislao civil ou penal, elas devem estar em conformidade com as regras para constituio de prova, estabelecidas pela legislao aplicvel ou pelas normas do tribunal especfico no qual o caso ser julgado: Admissibilidade da prova: se a prova pode ou no ser usada em juzo; Peso da prova: a qualidade e integridade da prova; Uma prova adequada de que os controles funcionaram de modo correto e consistente durante todo o perodo em que a prova a ser recuperada foi armazenada e processada pelo sistema.
Admissibilidade da prova
Para conseguir a admissibilidade da prova, assegurar que os sistemas de informaes obedecem a uma dada norma ou cdigo de prtica publicados para a produo de provas admissveis.
219
quem testemunhou a descoberta. Qualquer investigao deve garantir que ningum alterou os originais; Para informaes em suportes fsicos de computador: devem ser feitas cpias de qualquer veculo removvel das informaes em disco rgido ou na memria para garantir a disponibilidade; Conservar o registro de todos os atos praticados durante o processo de cpia; Identificar testemunhas para esse processo; Cpia do suporte fsico e do log devem ser mantidos em lugar seguro; Quando um incidente detectado, pode no ser bvio num primeiro momento que ele possa dar origem a uma ao judicial; Existe risco de que as provas necessrias sejam destrudas
acidentalmente antes que se perceba a gravidade do incidente; Recomenda-se envolver um advogado j nos estgios iniciais de qualquer ao judicial que se pretende adotar e pedir conselho sobre as provas necessrias.
220
Deve ser feita regularmente uma reviso em todas as reas da ELECTRA para assegurar a conformidade com as polticas e normas de segurana. As revises devem incluir o seguinte: Sistemas de informaes; Fornecedores de sistemas; Gestores das informaes e dos ativos de informao; Usurios; Administrao.
Os gestores dos sistemas de informaes devem providenciar revises peridicas da conformidade dos seus ambientes com as polticas e normas de segurana apropriadas e com quaisquer outros requisitos de segurana.
3.6.2
221
Existe uma consultoria sobre exigncias legais especficas junto ao departamento jurdico da ELECTRA;
So analisadas as exigncias legislativas que variam de um Pas para outro, para informaes criadas em um determinado Pas e transmitidas para um outro (fluxos de dados que atravessam fronteiras).
222
uma organizao para os seus acionistas, scios e auditores, no esto protegidos de forma adequada; So observados o perodo de reteno das informaes e os dados a serem conservados, que so estabelecidos pelas leis ou regulamentos do pas; Os registros contbeis, de bancos de dados, de transaes, de auditoria e procedimentos operacionais no esto protegidos; Cada tipo de registro tem exigncias especficas quanto a perodo de reteno e tipo de veculo de armazenagem, como: papel, microficha, suportes magnticos ou pticos. Esse procedimento observado; realizada destruio apropriada dos registros aps a expirao de tal perodo, se no forem mais necessrios; Existe um programa de reteno que identifica os tipos dos registros essenciais e por quanto tempo eles devem ser conservados; No existem controles de segurana apropriados para proteger registros e informaes essenciais contra perda, destruio e falsificao.
223
3.6.3
Adequao imediata da ELECTRA legislao vigente relativa a segurana da informao, observando ao Decreto 3.505, de 14 de junho de 2000;
O Data Center da ELECTRA deve proteger contra perda, destruio e falsificao e acesso os registros fsicos em papis da ELECTRA, de acordo com a legislao e os rgos reguladores.
O Comit Gestor Multidisciplinar deve ser encarregado de adequar a ELECTRA s recomendaes acima descritas.
Implementar controles de segurana apropriados para proteger registros e informaes essenciais contra perda, destruio e falsificao, como controle de acesso, higienizao, organizao, arquivos deslizantes para proteger o acervo etc;
necessrio avaliar o risco de se terceirizar a guarda de documentos sigilosos, porque atualmente no existe a classificao das informaes. O ideal que o local seja vistoriado e que os funcionrios do terceiro passem por um treinamento de conformidade com a Norma ISO/IEC 17799.
224
3.6.4
Plano de Ao
Geral
Treinar, instruir e conscientizar os funcionrios a respeito da adequao s normas que tratam da questo da Segurana da Informao; Aquisio de cofre ou arquivos deslizantes para guarda do material de propriedade intelectual, manuais de softwares e outros.
225
assegurar uma defesa adequada em um eventual processo civil ou criminal ou para confirmar a situao financeira de uma organizao para os seus acionistas, scios e auditores, devem ser protegidos de forma segura; Deve-se observar que cada tipo de registro tem exigncias especficas quanto a perodo de reteno e tipo de veculo de armazenagem, como: papel, microficha, suportes magnticos ou pticos; Registros contbeis, de bancos de dados, de transaes, de auditoria e procedimentos operacionais devem ser protegidos de forma segura; Devem ser consideradas as possibilidades de deteriorao dos suportes utilizados na armazenagem de registros; Nos casos de armazenagem por meios eletrnicos, devem estar inclusos os procedimentos para assegurar a capacidade de acessar dados legibilidade dos suportes fsicos como dos formatos - durante todo o perodo de reteno, como garantia contra a perda decorrente de futuras mudanas de tecnologia; Devem ser escolhidos os sistemas de armazenagem em que os dados necessrios possam ser recuperados de um modo aceitvel para um tribunal; Os registros exigidos devem ser recuperados dentro de um tempo aceitvel e num formato aceitvel; Deve-se manter um inventrio das fontes de informaes-chave;
226
Devem ser implementados controles de segurana apropriados para proteger registros e informaes essenciais contra perda, destruio e falsificao;
3.7
Criar e aprovar em carter de emergncia, uma Poltica de Segurana Corporativa das Informaes (com Marketing de Divulgao e Treinamento de conscientizao adequada) de acordo com as Normas, Legislaes e cultura da ELECTRA;
Nomear um Gerente de Segurana da Informao (Security Officer); Criar um Comit Gestor para implementao, manuteno e reviso da Poltica de Segurana da Informao na ELECTRA;
227
Reviso de todos os Contratos com Terceiros; Exigir em contrato que o terceiro desenvolva treinamento de conformidade com a Norma ISO/IEC 17799.
Estabelecer pontos de contatos para tratar incidentes de segurana; Estabelecer uma contingncia junto empresa prestadora de servios de telefonia.
Nomear um gestor responsvel para cada ativo da ELECTRA Compilar um inventrio dos ativos fsicos e lgicos; Identificar o valor dos ativos; Implementar Classificao das Informaes conforme a Norma ISO/IEC 17799 (a metodologia dever estabelecer Escalas dos Graus de sigilo e o Teor Crtico das informaes da ELECTRA, de modo a refletir a abrangncia de utilizao da informao);
228
Desenvolver procedimentos para desativao on-line de login de funcionrios que so demitidos ou suspensos;
Realizar treinamento de segurana para funcionrios e terceirizados; Dotar reas crticas de monitorao via CFTV; Adotar tecnologia de controle de acesso de funcionrios, terceirizados e visitantes, visando restringir fraudes e acesso no autorizado;
Estudar a implantao de sala de segurana (sala-cofre); Instalar cofre para guarda de mdias; Instalar CFTV em pontos estratgicos; Proibir fumar no CPD; Instalar deteco precoce de incndio com combate automtico de gs FM 200;
Instalar controle de acesso em salas de ambientes alta criticidade; Instalar grupo gerador;
229
ANLISE DE RESULTADOS
Poltica de Segurana Segurana Organizacional Classificao e Controle dos Ativos Segurana em Pessoas Segurana Fsica e do Ambiente Conformidade
4839
2558 53%
4129 85%
Observa-se na tabela acima que os mdulos de Poltica de Segurana, Classificao e Controle dos Ativos e Segurana Organizacional so os que maiores melhorias sofrero em nmeros relativos. O mdulo de Segurana fsica o maior em nmeros absolutos e que representa o maior esforo de implantao.
230
CONCLUSO
O processo de implementao desta proposta exigir da ELECTRA grande esforo e o comprometimento da alta gerncia composta pela presidncia e diretorias executivas, apoiadas nas gerncias setoriais. Esse empenho envolve a liberao de recursos necessrios, tanto financeiros como humanos, bem como o compromisso de disseminar uma cultura organizacional, voltada para a manuteno da poltica de segurana e da segurana fsica do seu ambiente de processamento de dados. Alm disso, necessrio criar o comit de segurana multidisciplinar dirigido por um gestor responsvel , com a responsabilidade de implantar, manter e revisar a poltica de segurana. A inobservncia desta recomendao poder acarretar em desconhecimento das diretrizes de segurana, descumprimento das mesmas, continuidade ou aumento das vulnerabilidades existentes, impossibilidade de punio em caso de sinistro, entre outros. As aes sugeridas nos planos de ao, nos seus diversos mdulos, a saber: a poltica de segurana; a segurana fsica e de ambiente - considerando as diversas reas e delimitadas segundo o conceito de permetro de segurana, os dispositivos e mecanismos de segurana como barreiras; a segurana em pessoas atravs da aculturao e a conformidade com as leis vigentes, permitiro alcanar os nveis de segurana fsica desejveis e adequados para a ELECTRA. A implementao das melhorias propostas reduzir o risco existente sobre os seus principais ativos.
231
De acordo com a anlise de resultados, observa-se que, apesar de proporcionalmente menor, as melhorias na segurana fsica exigiro maiores esforos do que todas as outras. Haver necessidade de adequao das instalaes (eltricas, hidrulicas, incndio, etc), mudana de layout, re-instalar a estrutura de cabeamento entre outros. importante observar que no devam ocorrer interrupes das atividades vitais de negcio da ELECTRA ou que estas sejam mnimas durante a implementao das recomendaes. Ainda observando os resultados, atravs do plano de ao, elevar-se- o nvel conformidade com a Norma NBR ISO/IEC 17799 de um nvel insatisfatrio de 53% (cinqenta e trs por cento) para um patamar adequado de 85% (oitenta e cinco por cento), considerado satisfatrio e admissvel pela ELECTRA.
232
REFERNCIAS BIBLIOGRFICAS
MOREIRA, Nilton Stringasci, Segurana Mnima, Axcel Books, 1. edio, 2001. PELTIER, Thomas R., Information Security Risk Analysis, CRC Press, 1 edio, 2001 SANTOS, Antonio Jeov, Dano Moral na Internet, Editora Mtodo, 1. edio, 2001. DIAS, Claudia, Segurana e Auditoria da Tecnologia da Informao, Axcel Books, 1. edio, 2000. CARUSO, C.A.A., Segurana em Informtica e de Informaes, Editora SENAC SP, 1. edio, 1999 ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Cdigo de Prtica para a Gesto da Segurana da Informao. NBR ISO/IEC 17799:So Paulo,2001. FERREIRA, Aurlio Buarque de Holanda, Dicionrio Aurlio da Lngua Portuguesa, 2 Edio, 2003. SILLAMY, Norbert, Dicionrio de Psicologia, Larousse, 1996. FERREIRA, Aurlio Buarque de Holanda, Novo Dicionrio Aurlio da Lngua Portuguesa, 2a. Edio, Editora Nova Fronteira, 1986. LANNOY Dorin, Enciclopdia de psicologia contempornea, 5o. volume, Editora Iracema, 1981. MAIA, Marco Aurlio, Mdulo Security Magazine www.modulo.com.br , 31 de julho de 2002. GALVO, Marcio; POGGI, Eduardo, Mdulo, Avaliao de Riscos em Segurana da Informao com o Security Check-up, 2002. Febraban, www.febraban.org.br/palestras, consultado no dia 02/11/2004. Mdulo Security, www.modulo.com.br, consultado no dia 02/11/2004.
233
234
APNDICE A
235
236
237
238
239
APNDICE B
240
241
242
Sala de Operadores e Analistas no Data Center: Predominncia de ms condies das instalaes eltricas/dados
243
244
Sala de Servios Gerais no Data Center: Infiltrao com possibilidade de cultura de bactrias
Sala de Operadores no Data Center: Indcio de insuficincia no condicionamento de ar nas salas do Data Center
Sala de Arquitetura no 1 andar: Precrias condies dos dispositivos de controle de acesso ao ambiente
245
246
247
248
249
250
Sala de Backup no Data Center: Conseqncia da m condio de conservao do sistema de ar-condicionado (poeira)
251
APNDICE C
252
Planilhas de avaliao
Poltica de Segurana
No Item Perguntas Peso 0 1 2 3 Referncia Apurados Sim Valores Aderncia Legenda
Aderncia Geral
165
0%
30
0%
Oferecida orientao e suporte 1.1 administrao para a segurana das informaes? A administrao estabelece uma diretriz de poltica bem definida e demonstra o seu apoio e compromisso com a 1.2 segurana das informaes, atravs da emisso e manuteno de uma poltica de segurana das informaes em toda a organizao?
15
0%
15
0%
90
0%
Convm que um documento da poltica seja aprovado pela direo, publicado e comunicado, de forma adequada, para todos os funcionrios
A poltica aprovada pela administrao, 2.1 publicada e divulgada para todos os empregados, da maneira apropriada? Foi firmado compromisso da administrao que descreve a 2.2 abordagem da organizao quanto ao gerenciamento da segurana das informaes? divulgado aos usurios em toda a organizao, de uma forma relevante, 2.3 acessvel e compreensvel ao pblicoalvo? So includas pelo menos orientaes como definio da segurana das informaes, seus objetivos globais e escopo e da importncia da segurana como um mecanismo capacitador para o compartilhamento de informaes, declarao da inteno da administrao, apoiando as metas e os princpios da segurana das informaes, breve explicao das 2.4 polticas de segurana, dos princpios, normas e requisitos de conformidade que sejam de especial importncia para a organizao (cumprimento de exigncias legais e contratuais, requisitos de treinamento em segurana, preveno e deteco de vrus e outros softwares mal intencionados, gerenciamento da continuidade dos negcios, conseqncias de violaes da poltica de segurana)?
15
0%
15
0%
15
0%
15
0%
254
So definidas responsabilidades gerais e especficas pelo gerenciamento da 2.5 segurana das informaes, incluindo a comunicao de incidentes de segurana? Existem referncias documentao que poder apoiar a poltica, como por exemplo polticas e procedimentos de 2.6 segurana mais detalhados para determinados sistemas de informaes ou normas de segurana s quais os usurios deveriam obedecer? 3
15
0%
15
0%
45
0%
A poltica tem um "dono" que responsvel por sua manuteno e 3.1 reviso de acordo com um processo de reviso definido? So asseguradas revises em resposta a 3.2 quaisquer mudanas que afetem as bases da avaliao original dos riscos? Existem revises peridicas, programadas, quanto eficcia da poltica, demonstrada pela natureza e pelo nmero e impacto dos incidentes de 3.3 segurana registrados, custo dos controles e seu impacto sobre a eficincia da empresa e efeitos das mudanas tecnolgicas?
15
0% Convm que a poltica tenha um gestor que seja responsvel por sua manuteno e anlise crtica, de acordo com um processo de anlise crtica definido.
15
0%
15
0%
255
Aderncia Geral
Responsabilidade sobre os ativos (equipamentos e Informaes)
mantida uma proteo apropriada dos ativos da organizao ? 5 x
378
183
48%
42
26
62%
1.1
15
10
67%
Atualmente, so identificados os gestores de todos os ativos relevantes 1.2 e atribuda a responsabilidade pela manuteno de controles apropriados ? A responsabilidade pela 1.3 implementao dos controles delegada? A responsabilidade deve continuar com 1.4 o gestor designado do ativo. feito assim? 2
15
10
67%
67%
33% O inventrio dos ativos ajuda a assegurar que as protees esto sendo feitas de forma efetiva e tambm pode ser requerido para outras finalidades de negcio, como sade e segurana, seguro ou financeira (gerenciamento patrimonial).
60
15
30
5
50%
33%
2.1
256
feita uma crtica do inventrio dos ativos ? A empresa oferece nveis de proteo 2.4 compatveis com o valor e a importncia dos ativos? Cada ativo tem um acordo sobre sua propriedade e classificao de segurana e documentado, 2.5 juntamente com sua localizao corrente? (Muito importante na recuperao aps qualquer perda ou danificao) 2.2 3 5 5 x x
15 10 67%
15
10
67%
15
33%
30
20
67%
Convm que um inventrio dos principais ativos associados com cada sistema de informao seja estruturado e mantido.
A organizao capaz de identificar os 3.1 seus ativos e saber o valor relativo e a importncia dos mesmos? elaborado e mantido um inventrio 3.2 dos ativos importantes associados a cada sistema de informaes? 4
15
10
67%
15
10
67%
45
25
56%
Existe uma classificao das informaes para assegurar que os 4.1 ativos de informao recebam um nvel de proteo adequado? A classificao da informao indica a 4.2 necessidade, as prioridades e o grau de proteo?
15
10
67%
15
10
67%
257
Sabendo-se que algumas informaes so mais sensveis e crticas do que outras e que alguns itens podem exigir um nvel adicional de proteo ou manuseio especial, tem sido utilizado 4.3 um sistema de classificao para definir um conjunto apropriado de nveis de proteo e comunicar a necessidade de medidas especiais de manuseio? 5
15
33%
Diretrizes de classificao
60
20
33%
A classificao e os controles protetores associados levam em considerao as necessidades da empresa de compartilhar ou restringir 5.1 informaes e os impactos empresariais associados a tais necessidades, como acesso no autorizado ou danos integridade das informaes? A classificao atribuda constitui um meio abreviado para determinar como 5.2 esta informao manuseada e protegida adequadamente? As informaes e as sadas produzidas por sistemas que processam dados 5.3 classificados so rotulados quanto ao seu valor e grau de sensibilidade para a organizao? As informaes so rotuladas para indicar at que ponto so crticas para 5.4 a organizao, quanto sua integridade e disponibilidade?
15
33% Convm que a classificao da informao e seus respectivos controles de proteo levem em considerao as necessidades de negcios para compartilhamento ou restrio de informaes e os respectivos impactos nos negcios como, por exemplo, o acesso no autorizado ou danos informao.
15
33%
15
33%
15
33%
66
27
41%
importante que um conjunto apropriado de procedimentos seja definido para rotular e tratar a informao de acordo com o esquema de classificao adotado pela organizao.
6.1
15
33%
6.2
15
33%
6.3
15
33%
6.4
15
10
67%
259
A responsabilidade pela definio da classificao de uma determinada informao e pela reviso peridica 6.5 desta classificao delegada da pessoa que originou a informao ou do gestor designado da informao?
33%
75
35
47%
7.1
15
33%
7.2
15
33% importante que um conjunto apropriado de procedimentos seja definido para rotular e tratar a informao de acordo com o esquema de classificao adotado pela organizao.
7.3
15
33%
7.4
15
33%
7.5
15
15
100%
260
Aderncia Geral
120
35
29%
reas Seguras
As reas crticas ou sensveis da empresa esto localizadas em reas seguras? Esto protegidas por um permetro de segurana definido, com barreiras de segurana e controles de entrada apropriados? Esto protegidas fisicamente contra acesso no autorizado, danos e interferncia? O grau de proteo proporcional aos riscos identificados? Existe poltica de mesa vazia e tela vazia para reduzir o risco de acesso no autorizado ou danos a documentos, mdia e instalaes de processamento de informaes?
75
10
13%
1.1
15
33%
1.2
15
33%
1.3 1.4
5 5 x
15
10
67%
15
33%
1.5
15
33%
180
80
44%
A proteo fsica pode ser alcanada atravs da criao de diversas barreiras fsicas em torno da propriedade fsica do negcio e de suas instalaes de processamento da informao
2.1
15
33%
2.2
15
33%
2.3
15
33%
2.4
15
10
67%
5 5 5
x x x
15
33%
15 15
5 5
33% 33%
2.8
15
10
67%
2.9
15
10
67%
262
Somente pessoal autorizado tem acesso aos sites e edifcios? As barreiras fsicas so estendidas, se necessrio, do piso bruto ao teto bruto, para impedir o acesso no autorizado e contaminao ambiental, que pode ser 2.11 causada no Data Center, central de telefonia, unidade certificadora, arquivos de documentos sensveis e estratgicos? Existem portas corta-fogo no permetro 2.12 de segurana? Elas so equipadas com alarme e fecham automaticamente? 2.10 5 x
15 10 67%
15
10
67%
15
0%
3
3.1 3.2
90
15
70
10
78%
67%
Convm que as reas de segurana sejam protegidas por controles de entrada apropriados para assegurar que apenas pessoas autorizadas tenham acesso liberado.
15
15
100%
3.3
15
15
100%
3.4
15
33%
3.5
15
15
100%
263
3.6 Os direitos de acesso a reas seguras so revistos e atualizados regularmente? 5 x
15 10 67%
51
34
67%
4.1
15
10
67%
4.2
15
10
67%
Convm que a seleo e o projeto de uma rea de segurana levem em considerao as possibilidades de dano causado por fogo, inundaes, exploses, manifestaes civis e outras formas de desastres naturais ou causados pelo homem.
4.3
67%
4.4
15
10
67%
5
5.1
Controle
Os equipamentos crticos esto em local no acessvel ao pblico? 5 x
141
15
94
10
67%
67%
264
Os prdios so discretos e indicam o mnimo possvel a sua finalidade, sem sinais visveis, dentro ou fora do edifcio, que identifiquem a presena de atividades de processamento de informaes? Funes e equipamentos de suporte, (fotocopiadoras e fax), ficam num local apropriado dentro da rea segura, para evitar pedidos de acesso que poderiam comprometer as informaes? So implementados sistemas apropriados de deteco de intrusos, instalados segundo padres profissionais e testados regularmente, para cobrir todas as portas externas e as janelas acessveis? As reas no ocupadas dispem de alarme armado permanentemente? Equipamentos administrados pela organizao ficam fisicamente separados dos equipamentos administrados por terceiros? As listas de pessoal e listas telefnicas internas que identificam a localizao dos equipamentos de processamento de informaes sensveis ficam em local no acessvel ao pblico? Materiais perigosos ou combustveis so armazenados de modo seguro e a uma distncia adequada de uma rea segura? Os suprimentos em grande volume so armazenados dentro de uma rea segura, somente sendo requisitados medida que forem sendo utilizados?
5.2
15
10
67%
5.3
15
10
67%
5.4
15
33%
5.5
15
33%
5.6
15
33%
5.7
67%
5.8
15
15
100%
5.9
15
15
100%
265
Os equipamentos e mdia de backup so localizados a uma distncia segura, para 5.10 que no sejam danificados em caso de um acidente no site principal?
15
15
100%
87
64
74%
Manuais e controles adicionais podem ser necessrios para melhorar as condies de uma rea de segurana.
6.1
15
10
67%
6.2
15
10
67%
6.3
33%
6.4
33%
6.5
15
10
67%
6.6
15
15
100%
6.7
15
15
100%
6.8
15
15
100%
266
Existem barreiras e permetros adicionais de controle de acesso fsico 6.9 entre reas com diferentes requisitos de segurana dentro do permetro de segurana? proibida a presena de equipamento 6.10 fotogrfico, de vdeo, udio ou gravao, a no ser com autorizao?
15
15
100%
15
15
100%
105
70
67%
7.1
15
10
67%
Convm que as reas de expedio e de carregamento sejam controladas e, se possvel, isoladas das instalaes de processamento da informao, com o objetivo de evitar acessos no autorizados. Convm que os requisitos de segurana sejam determinados a partir de uma avaliao de risco.
7.2
15
10
67%
7.3
15
10
67%
7.4
15
10
67%
7.5
15
10
67%
7.6
15
10
67%
267
7.7 O material recebido registrado ao entrar no site? 5 x
15 10 67%
Segurana do Equipamento
Os equipamentos so protegidos fisicamente contra as ameaas sua segurana e os perigos ambientais? So levados em conta localizao e disposio dos equipamentos? Existem controles especiais para proteo contra perigos ou acesso no autorizado e para preservar os equipamentos de apoio, como o suprimento de corrente e a infraestrutura de cabeamento?
45
30
67%
8.1 8.2
5 5
x x
15
10
67%
15
10
67%
Prevenir perda, dano ou comprometimento dos ativos, e a interrupo das atividades do negcio.
8.3
15
10
67%
120
70
58%
Convm que os equipamentos sejam instalados ou protegidos para reduzir o risco de ameaas ambientais, perigos e oportunidades de acesso no autorizado.
9.1
15
33%
9.2
15
33%
9.3
15
33%
268
9.4 Os itens que requerem proteo especial so isolados a fim de reduzir o nvel geral de proteo necessrio? So adotados controles para minimizar o risco de ameaas potenciais, incluindo furto; incndio; explosivos; fumaa; gua (ou falha no abastecimento); poeira; vibrao; efeitos qumicos; interferncia no suprimento de fora; radiao eletromagntica? A organizao estabelece uma poltica referente aos atos de comer, beber e fumar nas instalaes de processamento de informaes ou em sua proximidade? So monitoradas as condies ambientais quanto a fatores que poderiam afetar negativamente a operao dos equipamentos de processamento de informaes? So levados em conta o impacto de um acidente em instalaes prximas, como por exemplo um incndio no prdio vizinho, vazamento de gua do telhado ou em pavimentos do subsolo, ou uma exploso na rua? 5 x
15 5 33%
9.5
15
10
67%
9.6
15
15
100%
9.7
15
15
100%
9.8
15
10
67%
10
135
85
63%
Existe suprimento adequado de eletricidade que atenda s 10.1 especificaes do fabricante dos equipamentos? Existem fontes alternativas de gerao 10.2 de energia?
15
10
67%
Convm que os equipamentos sejam protegidos contra falhas de energia e outras anomalias na alimentao eltrica, e que um fornecimento de energia apropriado ocorra em conformidade com as especificaes do fabricante do equipamento.
15
10
67%
269
Existem mltiplas fontes de alimentao 10.3 para evitar que o suprimento dependa de uma nica fonte? 10.4 Existe suprimento de energia prova de interrupes (UPS = sistema no-break)? 5 5 5 x x x
15 10 67%
15 15
10 5
67% 33%
10.5 Existe gerador de backup? Existe um suprimento prova de interrupes (UPS/no-break) para suportar a parada ordenada ou a 10.6 continuao da operao, no caso de equipamentos que suportam operaes crticas para a empresa? Existe planejamento de contingncia 10.7 indicando as providncias a tomar em caso de falha do UPS? So realizados testes regulares dos 10.8 equipamentos para assegurar que ele tenha a capacidade adequada? Os equipamentos so testados de 10.9 acordo com as recomendaes do fabricante?
15
10
67%
15
10
67%
15
10
67%
15
10
67%
11
15
10
67%
providenciado um gerador de backup 11.1 para que o processamento continue em caso de uma falta de fora prolongada?
15
10
67%
12
105
70
67%
15
10
67%
270
Existe suprimento adequado de combustvel para assegurar que o 12.2 gerador possa operar durante um perodo prolongado? As chaves de fora de emergncia esto 12.3 localizadas perto das sadas de emergncia das salas de equipamentos? Existe iluminao de emergncia para o caso de falta de fora? Os prdios so equipados com pra12.5 raios? Existem filtros de proteo contra raios 12.6 em todas as linhas externas de comunicaes? Existe Gaiola de Faraday e para-raio 12.7 Franklin? 12.4 5 x
15 10 67%
5 5 5 5 5
x x x x x
15
10
67%
15 15 15 15
10 10 10 10
13
Segurana do cabeamento
96
37
39%
Convm que o cabeamento eltrico e de telecomunicao que transmite dados ou suporta os servios de informao seja protegido contra interceptao ou dano.
As linhas de fora e as linhas de telecomunicaes que entram nos equipamentos de processamento de 13.1 informaes so subterrneas sempre que possvel ou tm proteo alternativa adequada? O cabeamento das redes protegido contra interceptao no autorizada ou 13.2 danos (pelo uso de condutes ou evitando trajetos que passem por reas pblicas)? Os cabos de fora ficam separados dos 13.3 cabos de comunicaes para evitar interferncias?
15
10
67%
15
33%
15
33%
271
Existem condutes blindados e salas ou 13.4 caixas trancadas em pontos de inspeo e pontos terminais? feito o uso de rotas ou meios de transmisso alternativos? feito o uso de cabeamento de fibras 13.6 pticas? Existem cabos com sistemas de 13.7 varredura para detectar a presena de dispositivos no autorizados? 13.5 5 5 2 5 x x x x
15 5 33%
15 6
5 2
33% 33%
15
33%
14
90
60
67%
14.1
15
10
67%
14.2
15
10
67%
14.3
15
10
67%
Convm que a manuteno correta dos equipamentos garanta a continuidade da disponibilidade e integridade dos mesmos.
14.4
15
10
67%
14.5 14.6
5 5
15
10
67%
15
10
67%
O uso de qualquer equipamento fora das instalaes da organizao, para fins de 15.1 processamento de informaes, feito somente quando autorizado pela gerncia? O grau de segurana proporcionado equivalente ao do equipamento utilizado 15.2 no site para os mesmos fins, levando em conta os riscos do trabalho fora das instalaes da organizao? O equipamento de processamento de informaes (todas as formas de computadores pessoais, agendas eletrnicas, telefones celulares, papel ou outros meios) que ficam na posse da pessoa para trabalho a domiclio ou que so transportados para fora do local normal de trabalho tem procedimento de segurana? Os equipamentos e as mdias retiradas das instalaes da organizao tem superviso em lugares pblicos? Os computadores portteis so transportados como bagagem de mo e disfarados sempre que possvel, quando se viaja? So observadas a qualquer tempo as instrues do fabricante para a proteo dos equipamentos (ex.: proteo contra a exposio a campos eletromagnticos intensos)?
15
33%
15
10
67%
15.3
15
10
67%
15.4
15
10
67%
15.5
15
33%
15.6
15
33%
273
Os controles para o trabalho a domiclio so determinados por uma avaliao dos riscos, e so adotados controles 15.7 adequados conforme necessrio (ex.: arquivos de ao trancados, poltica de mesa vazia e controles de acesso a computadores)? Existe uma cobertura de seguros 15.8 adequada para proteger o equipamento quando fora do site?
15
10
67%
15
33%
16
16.1
60
15
40
10
67%
67%
Sistemas de armazenagem que contenham informaes sensveis so 16.2 destrudos fisicamente ou sobregravados de maneira segura em vez de se usar a funo normal delete? Todos os itens de equipamento que contenham mdia de armazenagem, como por exemplo discos rgidos, so 16.3 verificados para garantir que todos dados sensveis e softwares licenciados tenham sido retirados ou sobregravados antes do descarte? No caso de dispositivos de armazenagem danificados que contenham dados sensveis, existe uma 16.4 avaliao dos riscos para determinar se o item deve ser destrudo, consertado ou descartado?
15
10
67%
15
10
67%
A informao pode ser exposta pelo descuido na alienao ou reutilizao de equipamentos . Convm que dispositivos de armazenamento que contenham informao sensvel sejam destrudos fisicamente ou sobrescritos de forma segura ao invs da utilizao de funespadro para a excluso.
15
10
67%
Existem medidas para impedir o comprometimento ou furto de 17.1 informaes e de equipamentos de processamento de informaes? As informaes e os equipamentos crticos so protegidos contra revelao 17.2 a pessoas no autorizadas ou modificao ou furto por tais pessoas? So implementados controles para 17.3 minimizar a perda ou o dano a informaes?
15
10
67%
15
10
67%
15
10
67%
18
60
25
42%
A organizao adota poltica de mesa 18.1 vazia para documentos e mdia de armazenagem removveis? adotada poltica de tela vazia para os equipamentos de processamento de informaes, a fim de reduzir os riscos 18.2 de acesso no autorizado a informaes e de perda ou dano s informaes durante o horrio normal de trabalho e fora dele? So levadas em considerao as classificaes de segurana das 18.3 informaes, os riscos correspondentes e os aspectos culturais da organizao?
15
33%
A organizao deve considerar a adoo de uma poltica de mesa limpa para papis e mdias removveis e uma poltica de tela limpa para os recursos de processamento da informao, de forma a reduzir riscos de acesso no autorizado, perda e danos informao durante e fora do horrio normal de trabalho.
15
33%
15
10
67%
275
tomado cuidado para que informaes no sejam deixadas em cima de mesas, 18.4 podendo ser danificadas ou destrudas em caso de catstrofes, como incndios, inundaes ou exploses?
15
33%
19
Diretrizes de proteo
Os documentos e mdia de computador so armazenados em estantes apropriadas e trancadas em outras formas de moblia de segurana, quando no estiverem em uso, principalmente fora do horrio de expediente? Informaes empresariais sensveis ou crticas ficam trancadas (preferivelmente em um cofre ou arquivo prova de fogo) quando no em uso, principalmente quando no houver ningum no escritrio? Os computadores pessoais e terminais de computador, bem como as impressoras, ficam logged-on na ausncia do operador e protegidos por bloqueios de teclas, senhas ou outros controles quando no estiverem em uso? Os postos de correspondncia recebida e enviada e as mquinas de fax e telex sem a presena do operador so protegidos? As copiadoras so trancadas (ou protegidas de algum outro modo contra o uso no autorizado) fora do horrio normal de expediente?
72
44
61%
19.1
15
10
67%
19.2
15
10
67%
19.3
15
15
100%
19.4
33%
19.5
33%
276
Informaes sensveis ou confidenciais, 19.6 quando impressas, so retiradas das impressoras imediatamente? 5 x
15 5 33%
20
Retirada de bens
60
60
100%
Os equipamentos, as informaes ou o 20.1 software no podem sair do site sem autorizao. Isso verificado? Quando necessrio e apropriado, a 20.2 sada e a devoluo dos equipamentos registrada? So feitas inspees por amostragem 20.3 para detectar a retirada no autorizada de bens? As pessoas so informadas da 20.4 existncia de tais inspees?
15
15
100%
15
15
100%
5 5
x x
15
15
100%
15
15
100%
EDIFICAES
21
45
30
67%
Os equipamentos e os materiais de 21.1 combate so compatveis com o ambiente? 21.2 A quantidade existente suficiente? 21.3 Existe contingncia ?
15 15 15
5 15 10
22
22.1
60
15
30
10
50%
67%
277
22.2 conferida a validade das cargas? As portas de incndio possuem sensores 22.3 e alarmes e mola para fechamento automtico? Existem detectores de fumaa sob o piso 22.4 falso e no teto? 5 5 5 x x x
15 15 10 0 67% 0%
15
10
67%
23
23.1
120
15
80
15
67%
100%
Os equipamentos esto distantes das linhas de transmisso de alta voltagem? A regio segura (no sujeita a 23.2 assaltos, distrbios a outros tipos de violncia)? 23.3 A remoo de lixo diria? Existem procedimentos relacionados 23.4 com papis (isolamento, controle de acesso, proibio de fumar, etc.)? Periodicamente verificada a 23.5 necessidade de efetuar dedetizao e desratizao? As cestas de lixo so de metal com 23.6 tampa com objetivo de abafar princpios de incndio? proibida a execuo de trabalho que 23.7 gerem poeira na rea dos equipamentos? Os quadros de conexes telefnicas so 23.8 trancados para haja o acesso somente permitido ao pessoal autorizado?
15 15 15
15 10 10
15
10
67%
15
0%
15
15
100%
15
33%
24
285
125
44%
278
24.1 24.2 24.3 As paredes internas so de alvenaria at o teto? Existe vedao de passagens com portas corta-fogo? 5 5 5 x x x
15 15 15 5 5 5 33% 33% 33%
As paredes externas impedem a propagao de incndios? Existe vedao de passagens para outros recintos ou andares (dutos de ar24.4 condicionado, cabos, monta-carga, etc.)? O edifcio que abriga o Data Center foi 24.5 construdo com material retardante e resistente ao fogo? 24.6 24.7 Os detectores de fumaa so mantidos e testados de forma programada?
15
33%
5 5 5 5
x x x x
15
33%
15 15
5 5
33% 33%
Existe sensor de temperatura e umidade do ar? Existem quadros de controle pare 24.8 detectar rapidamente e localizar fogo e fumaa? As placas do piso falso so facilmente 24.9 removveis para permitir verificao de fogo e fumaa? 24.10 Existem marcaes no piso para facilitar a localizao dos detectores?
15
33%
5 5 5 5 5 5 x x
x x
15
10
67%
15
15
100%
Os extintores esto distribudos 24.11 estrategicamente em locais visveis e destacados? 24.12 O alarme de incndio toca na vigilncia? Existem hidrantes instalados em locais 24.13 estratgicos nos andares dos prdios? 24.14 Esses hidrantes e seus equipamentos auxiliares so testados regularmente?
15 15
5 0 10 10
x x
15 15
279
Havendo necessidade, os carros do 24.15 Corpo de Bombeiros podem ter acesso fcil a qualquer lado do prdio? As placas do piso falso so de material retardante? Existe reserva tcnica de gua para 24.17 hidrantes? Existem plantas de localizao dos 24.18 extintores e detectores? 24.16 Os alarmes de incndio podem ser 24.19 alimentados por baterias, no caso de falha no fornecimento de energia? 5 5 5 5 5 x x x x x
15 5 33%
15 15 15
10 10 10
15
0%
25
25.1
186
15
121
5
65%
33%
Existe sensoriamento de portas, janelas, dutos e superviso predial? Existe sala central de controle de 25.2 segurana bem localizada e com qualificao pessoal ? O monitoramento do permetro e reas 25.3 externas ao prdio feito via CFTV? A rea do Data Center fica em local no visvel da rua? Existe um servio de vigilncia de 24 25.5 horas, inclusive nos fins de semana e feriados? As sadas de emergncia so verificadas 25.6 em relao usabilidade periodicamente? As portas para a rea do Data Center 25.7 so mantidas fechadas? 25.4
15
33%
15 6
0 6
0% 100%
15
10
67%
5 5
x x
15
10
67%
15
10
67%
280
Existem alarmes para informar a 25.8 vigilncia a violao de portas e acessos a reas do Data Center? 25.9 25.10 25.11 25.12 25.13 feito um rodzio peridico entre os recepcionistas? A rede de iluminao est bem distribuda e de boa qualidade? O corpo de vigilantes possui um manual com procedimentos de emergncia? Existe um sistema de claviculrio no corpo de vigilantes? H um controle rigoroso das chaves das portas? 5 5 5 5 5 5 x x x x x x
15 5 33%
15 15 15 15 15
10 15 15 15 15
26
90
15 15 15
35
10 5 5
39%
67% 33% 33%
26.1 Existe procedimento de evacuao? 26.2 26.3 As sadas de emergncia esto livres e desimpedidas e em boas condies?
Existe iluminao de emergncia e sinalizao adequada ( feito teste)? Existem telefones internos de 26.4 emergncia para comunicao de sinistros? Existe um sistema de alarme para fazer 26.5 a evacuao dos prdios? Existe um sistema de udio para auxiliar 26.6 nos momentos de evacuao de pessoal?
15
10
67%
15
33%
15
0%
27
57
26
46%
281
27.1 27.2 27.3 Quadros de luz e iluminao esto localizados em local adequado? Existe controle de rudos nas imediaes do permetro? 2 2 5 5 x x x x
6 6 15 2 4 10 33% 67% 67%
Existe controle de temperatura nas imediaes do permetro? As condies de conservao e limpeza 27.4 do piso elevado e do forro so adequadas? Os incidentes de segurana so 27.5 investigados para apurao da causa e tomada de ao corretiva?
15
33%
15
33%
28
28.1 28.2
Suprimento de energia
Quedas de tenso freqentes, oscilaes e sobrecargas so evitadas? Existe estabilizador/no-break/gerador com autonomia satisfatria? 5 5 x x
120
15 15
70
10 10
58%
67% 67%
As instalaes eltricas do prdio e as instalaes destinadas aos 28.3 equipamentos de energia esto em boas condies e no oferecem perigo? 28.4 28.5 Existe exclusividade das instalaes eltricas no Data Center?
15
10
67%
5 5 5
x x x
15 15
5 10
33% 67%
O sistema de gerao prpria de energia testado periodicamente? O quadro de fora protegido e de fcil 28.6 acesso para as situaes de emergncia? Existe um controle das perdas de horas 28.7 de mquina devido a problemas de eletricidade?
15
33%
15
10
67%
282
28.8 Existe um plano de manuteno para a rede eltrica? 5 x
15 10 67%
29
Ar-condicionado
225
75
33%
A qualidade das instalaes e 29.1 manuteno dos equipamentos e nvel de rudo satisfatria? No deve haver possibilidade de entrada de gases atravs dos dutos de ar29.2 condicionado. Essa possibilidade eliminada? As chaves de emergncia desligam o 29.3 sistema de ar-condicionado? 29.4 O sistema de climatizao exclusivo? 29.5 29.6 29.7 29.8 29.9 compartilhado com rea e/ou tipo de equipamentos inadequados? O dimensionamento do equipamento de ar-condicionado adequado? H redundncias (e reservas) e simulaes peridicas? As aberturas externas (troca de ar) proporcionam uma adequada renovao? Existem dampers corta-fogo e gases no interior dos dutos? Os equipamentos de ar-condicionado esto instalados em compartimentos fechados (com acesso somente ao pessoal autorizado)? As tomadas de ar so protegidas contra contaminao? Existem alarmes nos sistemas de arcondicionado?
15
33%
15
33%
5 5 5 5 5 5 5 x x x x x
15 15 15
10 5 5 10 5
15 15
15
33%
15
0%
29.10
15
10
67%
29.11 29.12
5 5 x
15 15
5 0
33% 0%
283
29.13 Os dutos do ar condicionado so de material retardante? 5 5 5 x x x
15 0 0%
Os instrumentos de comando do sistema 29.14 de ar-condicionado esto protegidos evitando manuteno no-autorizada? 29.15 Existem plantas com especificaes de toda a rede de ar-condicionado?
15
0%
15
10
67%
30
225
95
42%
30.1
15
33%
O prdio est em boas condies em 30.2 relao umidade, infiltraes e vazamentos de canalizaes? garantida a continuidade do 30.3 suprimento (existncia a capacidade do reservatrio)? garantida a qualidade das instalaes 30.4 hidrulicas (vazamentos, infiltraes)? Existem plantas atualizadas da rede 30.5 hidrulica? A localizao das tubulaes e as 30.6 condies dos materiais utilizados so satisfatrias? Os telhados e a laje esto em boas 30.7 condies ? O subsolo no deve sofrer nenhum tipo 30.8 de interferncia. Isso ocorre? Quanto a drenagens sob o piso elevado, 30.9 a proteo em relao ao piso superior esta em boas condies?
15
33%
5 5 5 5 5 5 5
x x x x x x x
15
33%
15 15 15 15 15
5 10 5 5 5
15
33%
284
Os encanamentos, exceto os 30.10 necessrios, foram retirados do piso falso em reas sob o computador? 30.11 Os condutes so a prova d'gua? 30.12 Existe vedao adequada contra infiltrao de gua nas portas externas? 5 5 5 5 x x x x
15 15 15 10 10 0 67% 67% 0%
Existe escoamento de gua e drenagem 30.13 adequada para impedir inundao na sala do computador? As torres de resfriamento de gua esto 30.14 construdas em local fora do prdio que abriga o computador? A sala do computador possui 30.15 impermeabilizao adequada do teto, impedindo infiltrao de gua?
15
33%
15
15
100%
15
33%
285
Segurana em Pessoas
No Item Perguntas Peso 0 1 2 3 Referncia Apurados Sim Valores Aderncia Legenda
Aderncia Geral
Segurana na definio de funes e no recrutamento de pessoal
So tomadas medidas para reduzir os riscos de falha humana, furto, fraude ou uso indevido das instalaes? As responsabilidades so atendidas desde a fase de recrutamento? Estas responsabilidades so includas nos contratos, e monitoradas enquanto durar o vnculo empregatcio? exigido do empregado o acordo de no divulgao? 5 5 5 5 x x
x
195
140
72%
60
50
83%
15
10
67% Reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalaes.
15
10
67%
15
15
100%
15
15
100% Convm que regras e responsabilidades de segurana sejam documentadas onde for apropriado, de acordo com a poltica de segurana da informao da organizao
45
25
56%
2.1
15
10
67%
286
2.2 So definidas responsabilidades gerais pela implementao e manuteno da poltica de segurana? So definidas responsabilidades especficas pela proteo de determinados ativos ou responsabilidades pela execuo de determinados procedimentos ou atividades de segurana? 5 x
15 10 67%
2.3
15
33%
195
110
56%
Convm que verificaes de controle sobre a equipe permanente sejam conduzidas no momento da seleo de candidatos.
3.1
15
33%
5 5 5 5
x x x x
15
33%
15
10
67%
15 15
10 10
67% 67%
3.6
15
10
67%
3.7 3.8
5 5
x x
15
33%
15
33%
287
Nos casos em que terceiros so "fornecidos" por uma agncia, o contrato com a agncia especifica claramente suas responsabilidades especficas? verificado se na triagem e nos procedimentos de notificao que ela adota se o processo foi completado ou se os seus resultados do margem a dvidas ou a preocupao? O trabalho de todo o pessoal sujeito a exames peridicos e a procedimentos de aprovao por um membro mais graduado do quadro? Os gerentes levam em conta o fato de que circunstncias pessoais dos seus subordinados podem afetar o trabalho dos mesmos, como problemas pessoais e financeiros, mudanas de comportamento ou de estilo de vida, faltas constantes e sinais de estresse ou depresso, que podem levar a fraude, furto, erros ou outras implicaes de segurana? As informaes so tratadas de acordo com a legislao apropriada, vigente na jurisdio em questo?
3.9
15
15
100%
3.10
15
10
67%
3.11
15
15
100%
3.12
15
33%
3.13
15
33%
Compromissos de confidencialidade
Usam-se compromissos de confidencialidade ou no-revelao para indicar que determinadas informaes so confidenciais ou secretas?
75
60
80%
Acordos de confidencialidade ou de no divulgao so usados para alertar que a informao confidencial ou secreta.
4.1
15
15
100%
288
4.2 Os empregados assinam um compromisso de confidencialidade como parte do seu contrato de trabalho inicial? O pessoal temporrio e os usurios externos assinam compromisso de confidencialidade antes de terem acesso a instalaes de processamento de informaes? Os compromissos de confidencialidade so revistos quando h mudanas nas condies de emprego ou no contrato? Os compromissos de confidencialidade so revistos quando os empregados esto para sair da organizao ou quando os contratos esto para terminar? 5
x 15 15 100%
4.3
15
10
67%
4.4
15
10
67%
4.5
15
10
67%
60
20
33%
Convm que os termos e condies de trabalho determinem as responsabilidades dos funcionrios pela segurana da informao.
5.1
15
33%
5.2
15
33%
5.3
15
33%
289
So includas nos contratos as responsabilidades e direitos legais do empregado, com relao s leis de copyright ou legislao de proteo dos dados, a classificao e pelo tratamento dos dados sobre o empregado, as responsabilidades que se aplicam fora das instalaes da organizao e fora do horrio normal de trabalho, e fora do local de trabalho (ex.: uso de notebook)?
5.4
15
33%
30
17%
Assegurar que os usurios esto cientes das ameaas e das preocupaes de segurana da informao e esto equipados para apoiar a poltica de segurana da organizao durante a execuo normal do seu trabalho.
6.1
15
33%
6.2
15
0%
30
10
33%
Convm que todos os funcionrios da organizao e, onde for relevante, prestadores de servios recebam treinamento apropriado e atualizaes regulares sobre as polticas e procedimentos organizacionais.
7.1
15
33%
290
So includos requisitos de segurana, responsabilidades legais e controles empresariais e treinamento sobre o uso correto dos equipamentos de processamento de informaes?
7.2
15
33%
90
75
83%
8.1
15
10
67%
8.2
15
10
67%
8.3
15
15
100%
Minimizar danos originados pelos incidentes de segurana e mau funcionamento, e monitorar e aprender com tais incidentes.
8.4
15
15
100%
8.5 8.6
5 5 x
15
15
100%
15
10
67%
21
11
52%
9.1
100%
Convm que os incidentes de segurana sejam reportados atravs dos canais apropriados da direo, o mais rapidamente possvel.
9.2
15
33%
10
60
15
25%
10.1
15
33% Convm que os usurios dos servios de informao sejam instrudos a registrar e notificar quaisquer fragilidades ou ameaas, ocorridas ou suspeitas, na segurana de sistemas ou servios.
10.2
15
10
67%
10.3
15
0%
10.4
15
0%
45
20
44%
11.1
15
33%
11.2
15
33%
Convm que existam mecanismos para permitir que tipos, quantidades e custos dos incidentes e dos maus funcionamentos sejam quantificados e monitorados.
11.3
15
10
67%
12
Processo disciplinar
Existe um processo disciplinar formal para empregados que violarem as polticas e procedimentos de segurana da organizao e para a coleta de provas? Existe um procedimento que vise desencorajar empregados com tendncia para desrespeitar os procedimentos de segurana? Esse procedimento assegura um tratamento correto e justo de empregados suspeitos de cometerem violaes de segurana, graves ou persistentes?
45
30
67%
12.1
15
10
67%
12.2
15
10
67%
Convm que exista processo disciplinar formal para os funcionrios que tenham violado as polticas e procedimentos de segurana organizacional
12.3
15
10
67%
PESSOAL
293 13
13.1 13.2 13.3 13.4 13.5 13.6 13.7
Situaes de emergncia
Existe treinamento acerca de preveno de acidentes em todos os turnos? Existe uma lista de telefones/endereos de emergncia (pronto-socorro, hospitais, corpo de bombeiros, policia militar e etc)? So realizados procedimentos destinados remoo de pessoas? O atendimento mdico, em caso de emergncia eficiente? Existe esquema de planto no servio de eletricidade? O pessoal treinado em outras funes (em caso de contingncia)? Existe informao e treinamento quanto Poltica de Segurana? Existe treinamento em situaes de emergncia, primeiros socorros, planos de abandono, procedimento fora de expediente.etc? proibido fumar na sala do computador? proibido comer a beber na sala do computador? A gerncia e a superviso inspecionam as reas em horrios alternados? 5 5 5 5 5 5 5 x x x x x x x
165
15
120
10
73%
67%
15
33%
15 15 15 15 15
10 15 15 15 0
5 5 5 5
x x x x
15
10
67%
15 15 15
15 15 10
14
Casos de incndio
120
75
63%
294
14.1 14.2 14.3 14.4 14.5 Existem funcionrios treinados em todos os turnos? realizado treinamento de evacuao do edifcio? realizado treinamento acerca de salvamento de ativos (documentos, meios magnticos)? feita divulgao/exibio dos telefones do corpo de bombeiros? Os vigilantes so treinados para combater incndios que possam ocorrer fora do expediente normal? Os funcionrios so treinados para combater incndios que possam ocorrer na rea do computador? mantido um relacionamento formal com a guarnio do Corpo de Bombeiros que atende a regio? Existem brigadas de incndio organizadas? 5 5 5 5 5 x x x x x
15 15 15 10 100% 67%
15
33%
15
33%
15
15
100%
14.6
15
10
67%
14.7 14.8
5 5 x
15
15
100%
15
0%
15
15.1 15.2 15.3 15.4
Segurana funcional
proibida (e feito um controle) a entrada de funcionrios demitidos? feito um acompanhamento de funcionrios descontentes ou com problemas financeiros a pessoais? Os antecedentes de funcionrios novos so verificados? Periodicamente so verificados os antecedentes criminais dos vigilantes? 5 5 5 5 x x x x
90
15
65
15
72%
100%
15
33%
15 15
5 15
33% 100%
295
15.5 Todos os funcionrios so instrudos quanto a medidas de segurana adotadas? O sistema de admisses demisses, entrega de senhas e materiais sigilosos: crachs, catlogos, tabelas de preos, contratos e outros so feitos de forma correta? 5 x
15 10 67%
15.6
15
15
100%
296
Segurana Organizacional
No Item Perguntas Peso 0 1 2 3 Referncia Apurados Sim
Valores
Aderncia Legenda
Aderncia Geral
651
322
49%
Comit de Segurana
120
40
33%
Existem comits de administrao de 1.1 segurana da informao com lderes gerenciais? Atualmente, so estabelecidos 1.2 contatos com especialistas externos em segurana? Caso exista o comit, ele possui 1.3 abordagem multidisciplinar em relao segurana? Dentre as atribuies do Comit est a reviso e aprovao da poltica de 1.4 segurana das informaes e das responsabilidades globais? A monitorao de mudanas 1.5 significativas na exposio dos ativos de informao feita? A reviso e monitorao de incidentes 1.6 de segurana tem sido tratada pelo comit de forma adequada?
15
33%
15
10
67%
15
0%
15
0%
15
10
67%
15
33%
297
So realizadas iniciativas relevantes 1.7 para aperfeioar a segurana das informaes? Existe um gerente responsvel por 1.8 todas as atividades relacionadas com a segurana? 2 5 x
15 10 67%
15
0%
246
137
56%
A segurana da informao uma responsabilidade de negcios compartilhada por todos os membros da equipe da direo.
2.1
15
33%
2.2
15
33%
2.3
33%
2.4
15
10
67%
2.5
15
10
67%
2.6
15
33%
298
As responsabilidades pela proteo de ativos individuais e pela execuo de 2.7 processos especficos de segurana esto claramente definidas? 2.8 A poltica atual fornece diretrizes gerais sobre a atribuio de papis e responsabilidades de segurana dentro da organizao? O gerente de segurana da informao assume responsabilidade global pelo desenvolvimento e implementao da segurana e concedido apoio identificao e implementao dos controles? Existe um gestor para cada ativo de informao, que o responsvel pela sua segurana no dia-a-dia? As reas de responsabilidade de cada gerente que esto claramente definidas ? Os diversos ativos e processos de segurana associados a cada sistema individual esto identificados e claramente definidos? No caso do gerente responsvel por cada ativo ou processo de segurana, os detalhes dessa responsabilidade esto documentados? Os nveis de autorizao esto claramente definidos e documentados? Atualmente, estabelecido um processo de autorizao gerencial para as instalaes de processamento de informaes?
15
10
67%
15
33%
2.9
15
33%
2.10
15
10
67%
2.11
15
33%
2.12
15
10
67%
2.13
15
10
67%
2.14
15
15
100%
2.15
15
15
100%
299
A administrao de usurios, 2.16 autorizao, sua finalidade e utilizao so feitas de forma segura? concedida autorizao para o uso de 2.17 equipamentos pessoais de forma criteriosa? 3 5 x
15 10 67%
15
33%
Consultoria Interna
Existe um consultor interno de segurana experiente? 5 x
75
15
45
5
60%
33%
3.1
Essa pessoa tambm tem acesso a consultores externos apropriados para 3.2 lhe dar assistncia em assuntos fora de sua rea de experincia? O consultor interno tem acesso direto 3.3 a todos os nveis de gerncia dentro da organizao? Os casos de suspeita de incidente ou 3.4 violao de segurana so tratados de forma correta? Investigaes internas de segurana executadas sob o controle da 3.5 administrao podem requerer consultoria para aconselhar, liderar ou realizar a investigao. Isso ocorre? 4
15
10
67%
15
10
67%
15
10
67%
15
10
67%
30
10
33%
Convm que sejam mantidos contatos apropriados com autoridades legais, organismos reguladores, provedores de servio de informao e operadores de telecomunicaes, de forma a garantir
300
Atualmente, so mantidos contatos com autoridades policiais, rgos reguladores, provedores de servios de informaes e operadoras de 4.1 telecomunicaes para garantir a tomada rpida de providncias e a obteno de orientao em caso de um incidente de segurana? Existe filiao a associaes de 4.2 segurana ? 5 telecomunicaes, de forma a garantir que aes adequadas e apoio especializado possam ser rapidamente acionados na ocorrncia de incidentes de segurana.
15
33%
15
33%
Reviso da Segurana
15
0%
Convm que a sua implementao seja analisada criticamente, de forma independente, para fornecer garantia de que as prticas da organizao refletem apropriadamente a poltica, e que esta adequada e eficiente
A implementao da poltica de segurana deve ser revista por um rgo independente, para dar a garantia de que as prticas 5.1 organizacionais refletem corretamente a poltica e que elas so viveis e eficazes. J foi realizada alguma reviso na poltica atual? 6
15
0%
Acesso de Terceiros
5 x
165
15
90
10
55%
67%
Manter a segurana dos recursos de processamento de informao e ativos de informao organizacionais acessados por prestadores de servios.
O controle de acesso fsico de terceiros feito de forma correta? Nos casos em que os negcios exigem o acesso de terceiros, deve ser feita uma avaliao de riscos para 6.2 determinar as implicaes de segurana e os requisitos de controle. J foi desenvolvida essa anlise ? Os controles esto acertados e 6.3 definidos em contrato com o terceiro? 6.1
15
33%
15
10
67%
301
Os contratos que concedem acesso a terceiros incluem disposies para a designao de outros participantes qualificados e as condies para o seu acesso? Existem terceiros que prestam servios a organizao e no esto localizados no site, mas podem ter acesso fsico e lgico? A administrao da segurana est adequada e no est sendo colocada em risco pelo acesso de terceiros? Existe uma poltica definida para terceiros que ficam localizados no site durante um determinado tempo, definido em contrato como: pessoal de manuteno e suporte de hardware e software; pessoal de limpeza, fornecimento de refeies, guardas de segurana e outros servios de suporte terceirizados, estagirios e outras nomeaes ocasionais em curto prazo e consultores? O acesso de terceiros s instalaes de processamento de informaes da organizao baseado em contrato formal que contenha referncia a todos os requisitos de segurana para assegurar a conformidade com as polticas e normas de segurana da organizao?
6.4
15
33%
6.5
15
33%
6.6
15
10
67%
6.7
15
10
67%
6.8
15
33%
Est especificado no contrato que a organizao receber indenizao por 6.9 parte de seu fornecedor, caso ocorra algum incidente causado por algum funcionrio do prestador de servios?
15
10
67%
302
Est especificado no contrato que a organizao ter direito de monitorar e revogar as atividades de usurio, o 6.10 direito de auditar as responsabilidades contratuais ou de fazer com que tal auditoria seja realizada por um terceiro? Nos casos em que a responsabilidade pelo processamento das informaes 6.11 foi confiada a uma organizao externa, existe a tentativa de garantir a segurana das informaes?
15
10
67%
15
10
67%
303
Conformidade
No Item Perguntas Peso 0 1 2 3 Referncia Apurados Sim Valores Aderncia Legenda
Aderncia Geral
285
183
64%
51
46
90%
Existe a preocupao de evitar violaes de qualquer lei penal ou civil, 1.1 obrigaes decorrentes de estatutos, regulamentos ou contratos e quaisquer requisitos de segurana? A organizao est sujeita a exigncias de segurana decorrentes de estatutos, 1.2 regulamentos ou contratos. Isso observado? Existe uma consultoria sobre exigncias legais especficas junto ao 1.3 departamento jurdico da organizao ou com advogados externos devidamente qualificados? So analisadas as exigncias legislativas que variam de um Pas para 1.4 outro? (fluxos de dados que atravessam fronteiras)
15
15
100%
15
10
67%
Evitar violaes de leis penais ou cveis, de obrigaes decorrentes de estatutos, regulamentos ou contratos e de quaisquer requisitos de segurana
15
15
100%
100%
So observadas as exigncias relevantes impostas por lei, por rgos 2.1 reguladores ou por contrato, definidas explicitamente e documentadas por sistema de informao? Os controles especficos e as responsabilidades individuais pelo 2.2 atendimento a estas exigncias esto definidos e documentados?
15
15
100%
15
15
100%
174
92
53%
Convm que registros importantes de uma organizao sejam protegidos contra perda, destruio e falsificao.
Os registros da organizao so 3.1 protegidos contra perda, destruio e falsificao? Os registros so arquivados de modo 3.2 seguro para atender a exigncias da lei ou de rgos reguladores? Os registros que podem ser exigidos para comprovar que a organizao opera de acordo com as normas da lei ou de rgos reguladores ou para assegurar uma defesa adequada em um 3.3 eventual processo civil ou criminal ou para confirmar a situao financeira de uma organizao para os seus acionistas, scios e auditores, esto protegidos de forma segura?
15
33%
15
33%
15
33%
305
observado o perodo de reteno das informaes e dos dados a serem 3.4 conservados que so estabelecidos pelas leis ou regulamentos do pas? Registros contbeis, de bancos de dados, de transaes, de auditoria e procedimentos operacionais so protegidos de forma segura? Cada tipo de registro tem exigncias especficas quanto a perodo de reteno e tipo de veculo de armazenagem, como: papel, microficha, suportes magnticos ou pticos. Isso observado? So consideradas as possibilidades de deteriorao dos suportes utilizados na armazenagem de registros? Nos casos de armazenagem por meios eletrnicos, esto inclusos os procedimentos para assegurar a capacidade de acessar dados legibilidade dos suportes fsicos como dos formatos - durante todo o perodo de reteno, como garantia contra a perda decorrente de futuras mudanas de tecnologia? Atualmente so escolhidos sistemas de armazenagem em que os dados necessrios possam ser recuperados de um modo aceitvel para um tribunal? Os registros exigidos podem ser recuperados dentro de um tempo aceitvel e num formato aceitvel? realizada destruio apropriada dos registros aps a expirao de perodo, se no forem mais necessrios organizao?
15
15
100%
3.5
15
33%
3.6
15
10
67%
3.7
67%
3.8
15
10
67%
3.9
15
33%
3.10
100%
306
Existem diretrizes sobre a reteno, 3.11 armazenagem, manuseio e descarte de registros e informaes? Existe um programa de reteno que identifique os tipos dos registros 3.12 essenciais e por quanto tempo eles devem ser conservados? mantido um inventrio das fontes de 3.13 informaes-chave? Foram implementados controles de segurana apropriados para proteger 3.14 registros e informaes essenciais contra perda, destruio e falsificao? 2
x 6 6 100%
100%
15
33%
15
33%
30
15
50%
Convm que gestores garantam que todos os procedimentos de segurana dentro da sua rea de responsabilidade esto sendo executados corretamente.
Os gerentes podem assegurar que todos os procedimentos de segurana 4.1 dentro de sua rea de responsabilidade so executados corretamente? realizada regularmente uma reviso em todas as reas da organizao para 4.2 assegurar conformidade com as polticas e normas de segurana?
15
10
67%
15
33%
307
APNDICE D
308
Perguntas: So feitas perguntas extradas da norma ISO/IEC 17799. Peso: So dados pesos 0, 2 ou 5 conforme a relevncia (pesos dados pelo cliente)
309
Situao: (pontuao dada pelo cliente) No Sim Valores: Referncia: Maior pontuao possvel, partindo do peso dado, multiplicando-o com a situao. Apurados: o produto do peso (0, 2 ou 5) pela situao (0,1 ,2 ou 3). O ndice de conformidade varia de 0 a 15 (dessa forma apresentado o ndice de conformidade do item e do subitem) Aderncia: Percentual de aderncia do mdulo, item e subitem. Legenda: Objetivo do item. 2: Presena parcial 3: Presena total 0: Ausncia total 1: Presena inexpressiva
310
Fotos: so tiradas fotos de pontos relevantes como vulnerabilidades, reas crticas, ambientes, todas as dependncias do Data Center e todos os andares do prdio, naquilo que poderia ser de interesse da anlise.
Vistorias e levantamentos: So feitas vistorias nos ambientes para colher informaes relevantes.
Entrevistas: So feitas entrevistas com diretores, gerentes e funcionrios (inclusive terceirizados). utilizado um questionrio (baseado na norma ISO/IEC 17799).
Situao Atual: apresentada a situao encontrada na empresa em relao a Segurana da Informao, levando-se em considerao o que pode ser mantido, o que pode ser aperfeioado e o que deve ser mudado.
Recomendaes: So feitas recomendaes de melhorias na Segurana da Informao, de acordo com o verificado na situao atual.
Plano de Ao: So recomendaes mais profundas visando melhorias na Segurana da Informao da empresa, que ajudam a orientar e determinar a atuao gerencial apropriada s prioridades para o gerenciamento dos riscos Segurana da Informao. Serve como auxlio na implementao de controles que oferecem proteo contra os riscos identificados.
311
A anlise atende ao Decreto Federal 3.505 e Lei 2.572 do GDF. O objetivo da metodologia identificar as necessidades de Segurana da Informao apropriadas para a empresa analisada.
312
ANEXO A
313
Presidncia da Repblica
Casa Civil
Subchefia para Assuntos Jurdicos
DECRETO No 3.505, DE 13 DE JUNHO DE 2000. Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal. O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art. o 84, inciso IV, da Constituio, e tendo em vista o disposto na Lei n 8.159, de 8 de o janeiro de 1991, e no Decreto n 2.910, de 29 de dezembro de 1998, DECRETA: Art. 1 Fica instituda a Poltica de Segurana da Informao nos rgos e nas entidades da Administrao Pblica Federal, que tem como pressupostos bsicos: I - assegurar a garantia ao direito individual e coletivo das pessoas, inviolabilidade da sua intimidade e ao sigilo da correspondncia e das comunicaes, nos termos previstos na Constituio; II - proteo de assuntos que meream tratamento especial; III - capacitao dos segmentos das tecnologias sensveis; IV - uso soberano de mecanismos de segurana da informao, com o domnio de tecnologias sensveis e duais; V - criao, desenvolvimento e manuteno de mentalidade de segurana da informao; VI - capacitao cientfico-tecnolgica do Pas para uso da criptografia na segurana e defesa do Estado; e VII - conscientizao dos rgos e das entidades da Administrao Pblica Federal sobre a importncia das informaes processadas e sobre o risco da sua vulnerabilidade. Art. 2 Para efeitos da Poltica de Segurana da Informao, ficam estabelecidas as seguintes conceituaes: I - Certificado de Conformidade: garantia formal de que um produto ou servio, devidamente identificado, est em conformidade com uma norma legal; II - Segurana da Informao: proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao desautorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaas a seu desenvolvimento.
o o
314
Art. 3 So objetivos da Poltica da Informao: I - dotar os rgos e as entidades da Administrao Pblica Federal de instrumentos jurdicos, normativos e organizacionais que os capacitem cientfica, tecnolgica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o no-repdio e a disponibilidade dos dados e das informaes tratadas, classificadas e sensveis; II - eliminar a dependncia externa em relao a sistemas, equipamentos, dispositivos e atividades vinculadas segurana dos sistemas de informao; III - promover a capacitao de recursos humanos para o desenvolvimento de competncia cientfico-tecnolgica em segurana da informao; IV - estabelecer normas jurdicas necessrias efetiva implementao da segurana da informao; V - promover as aes necessrias implementao e manuteno da segurana da informao; VI - promover o intercmbio cientfico-tecnolgico entre os rgos e as entidades da Administrao Pblica Federal e as instituies pblicas e privadas, sobre as atividades de segurana da informao; VII - promover a capacitao industrial do Pas com vistas sua autonomia no desenvolvimento e na fabricao de produtos que incorporem recursos criptogrficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de servios relacionados com a segurana da informao; e VIII - assegurar a interoperabilidade entre os sistemas de segurana da informao. Art. 4 Para os fins deste Decreto, cabe Secretaria-Executiva do Conselho de Defesa Nacional, assessorada pelo Comit Gestor da Segurana da Informao de o que trata o art. 6 , adotar as seguintes diretrizes: I - elaborar e implementar programas destinados conscientizao e capacitao dos recursos humanos que sero utilizados na consecuo dos objetivos de que trata o artigo anterior, visando garantir a adequada articulao entre os rgos e as entidades da Administrao Pblica Federal; II - estabelecer programas destinados formao e ao aprimoramento dos recursos humanos, com vistas definio e implementao de mecanismos capazes de fixar e fortalecer as equipes de pesquisa e desenvolvimento, especializadas em todos os campos da segurana da informao; III - propor regulamentao sobre matrias afetas segurana da informao nos rgos e nas entidades da Administrao Pblica Federal; IV - estabelecer normas relativas implementao da Poltica Nacional de Telecomunicaes, inclusive sobre os servios prestados em telecomunicaes, para assegurar, de modo alternativo, a permanente disponibilizao dos dados e das informaes de interesse para a defesa nacional; V - acompanhar, em mbito nacional e internacional, a evoluo doutrinria e tecnolgica das atividades inerentes segurana da informao;
o
315
VI - orientar a conduo da Poltica de Segurana da Informao j existente ou a ser implementada; VII - realizar auditoria nos rgos e nas entidades da Administrao Pblica Federal, envolvidas com a poltica de segurana da informao, no intuito de aferir o nvel de segurana dos respectivos sistemas de informao; VIII - estabelecer normas, padres, nveis, tipos e demais aspectos relacionados ao emprego dos produtos que incorporem recursos critptogrficos, de modo a assegurar a confidencialidade, a autenticidade, a integridade e o no-repdio, assim como a interoperabilidade entre os Sistemas de Segurana da Informao; IX - estabelecer as normas gerais para o uso e a comercializao dos recursos criptogrficos pelos rgos e pelas entidades da Administrao Pblica Federal, dando-se preferncia, em princpio, no emprego de tais recursos, a produtos de origem nacional; X - estabelecer normas, padres e demais aspectos necessrios para assegurar a confidencialidade dos dados e das informaes, em vista da possibilidade de deteco de emanaes eletromagnticas, inclusive as provenientes de recursos computacionais; XI - estabelecer as normas inerentes implantao dos instrumentos e mecanismos necessrios emisso de certificados de conformidade no tocante aos produtos que incorporem recursos criptogrficos; XII - desenvolver sistema de classificao de dados e informaes, com vistas garantia dos nveis de segurana desejados, assim como normatizao do acesso s informaes; XIII - estabelecer as normas relativas implementao dos Sistemas de Segurana da Informao, com vistas a garantir a sua interoperabilidade e a obteno dos nveis de segurana desejados, assim como assegurar a permanente disponibilizao dos dados e das informaes de interesse para a defesa nacional; e XIV - conceber, especificar e coordenar a implementao da infra-estrutura de chaves pblicas a serem utilizadas pelos rgos e pelas entidades da Administrao Pblica Federal. Art. 5 Agncia Brasileira de Inteligncia - ABIN, por intermdio do Centro de Pesquisa e Desenvolvimento para a Segurana das Comunicaes - CEPESC, competir: I - apoiar a Secretaria-Executiva do Conselho de Defesa Nacional no tocante a atividades de carter cientfico e tecnolgico relacionadas segurana da informao; e II - integrar comits, cmaras tcnicas, permanentes ou no, assim como equipes e grupos de estudo relacionados ao desenvolvimento das suas atribuies de assessoramento. Art. 6 Fica institudo o Comit Gestor da Segurana da Informao, com atribuio de assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na consecuo das diretrizes da Poltica de Segurana da Informao nos rgos e nas entidades da Administrao Pblica Federal, bem como na avaliao e anlise de assuntos relativos aos objetivos estabelecidos neste Decreto.
o o
316
Art. 7 O Comit ser integrado por um representante de cada Ministrio e rgos a seguir indicados: I - Ministrio da Justia; II - Ministrio da Defesa; III - Ministrio das Relaes Exteriores; IV - Ministrio da Fazenda; V - Ministrio da Previdncia e Assistncia Social; VI - Ministrio da Sade; VII - Ministrio do Desenvolvimento, Indstria e Comrcio Exterior; VIII - Ministrio do Planejamento, Oramento e Gesto; IX - Ministrio das Comunicaes; X - Ministrio da Cincia e Tecnologia; XI - Casa Civil da Presidncia da Repblica; e XII - Gabinete de Segurana Institucional da Presidncia da Repblica, que o coordenar. 1 Os membros do Comit Gestor sero designados pelo Chefe do Gabinete de Segurana Institucional da Presidncia da Repblica, mediante indicao dos titulares dos Ministrios e rgos representados. 2 Os membros do Comit Gestor no podero participar de processos similares de iniciativa do setor privado, exceto nos casos por ele julgados imprescindveis para atender aos interesses da defesa nacional e aps aprovao pelo Gabinete de Segurana Institucional da Presidncia da Repblica. 3 A participao no Comit no enseja remunerao de qualquer espcie, sendo considerada servio pblico relevante. 4 A organizao e o funcionamento do Comit sero dispostos em regimento interno por ele aprovado. 5 Caso necessrio, o Comit Gestor poder propor a alterao de sua composio. Art. 8 Este Decreto entra em vigor na data de sua publicao. Braslia, 13 de junho de 2000; 179 da Independncia e 112 da Repblica. FERNANDO HENRIQUE CARDOSO Jos Gregori Geraldo Magela da Cruz Quinto Luiz Felipe Lampreia Pedro Malan Waldeck Ornlas
o o o o o o o o
317
Jos Serra Alcides Lopes Tpias Martus Tavares Pimenta da Veiga Ronaldo Mota Sardenberg Pedro Parente Alberto Mendes Cardoso Publicado no D.O. de 14.6.2000
318
Lei 2.572
LEI N 2.572, DE 20 DE JULHO DE 2000 Dispe sobre a preveno das entidades pblicas do Distrito Federal com relao aos procedimentos praticados na rea de informtica. O GOVERNADOR DO DISTRITO FEDERAL, FAO SABER QUE A CMARA LEGISLATIVA DO DISTRITO FEDERAL DECRETA E EU SANCIONO A SEGUINTE LEI: CAPTULO I DOS PRINCPIOS QUE REGULAM AS CONDIES DE SEGURANA DA TECNOLOGIA DA INFORMAO E DE INFORMAO COMO FONTE DE DADOS Art. 1 As entidades pblicas do Distrito Federal devem promover a segurana da informao, mediante a garantia da disponibilidade, integridade, confiabilidade e legalidade das informaes que suportam os seus processos operacionais. Art. 2 A garantia da disponibilidade deve ser de forma preventiva e abranger os aspectos fsicos, lgicos e tcnicos. CAPTULO II DOS PRINCPIOS DA PROTEO PREVENTIVA DA INFORMAO Seo I Da Segurana Fsica Art. 3 A proteo fsica dos equipamentos, servidores de rede, telecomunicao e outros deve ser garantida mediante o acondicionamento em ambientes ou compartimentos e controle de acesso adequados. Pargrafo nico. Entende-se por ambiente adequado aquele que proteja os equipamentos crticos de informtica e informaes vitais segundo exigncias mnimas de temperatura e umidade, ou seja, 20C e 85% de umidade relativa do ar. Seo II Da Segurana Lgica Art. 4 A proteo lgica dos sistemas deve ser garantida mediante a definio dos papis dos usurios e das regras de acesso informao, respeitados os critrios de garantia dos direitos individuais e coletivos de privacidade e segurana de pessoas fsicas e jurdicas. Seo III Da Proteo de Dados e Programas
319
Art. 5 Os padres e solues de segurana de dados de programas devem garantir a sua proteo quanto disposio dos usurios, enquanto instalados nos servidores de arquivos, ou nas estaes de nvel de descrio no registro dos eventos e na preservao contra vrus de computadores. 1 A proteo de dados e programas instalados no servidor de arquivos deve garantir padres de segurana contra leitura, execuo, gravao, recepo e criao por parte de pessoas no autorizadas. 2 Qualquer pessoa, fsica ou jurdica, tem o direito de interpelar o proprietrio de redes de computadores ou provedor de servios para saber informaes ao seu respeito e o respectivo teor. Art. 6 O acesso de terceiros, no autorizados pelos respectivos interessados, a informaes privadas mantidas em rede de computadores depender de prvia autorizao judicial. CAPTULO III DOS ASPECTOS DE RECUPERAO DA INFORMAO Art. 7 O gerenciador e administrador de ambientes informatizados deve providenciar anlise de risco fsico e lgico, abrangendo padres definidos para acondicionamento de equipamentos de processamento de dados e mdias magnticas, e identificando possveis prejuzos. Art. 8 O administrador dos ambientes de tecnologia da informao dever desenvolver plano de contingncia. Pargrafo nico. Os planos de contingncia devem conter as alternativas para os processos e as fases de pr-interrupo, interrupo e ps-interrupo. CAPTULO IV DOS COMPORTAMENTOS IRREGULARES Seo I Disposies Preliminares Art. 9 Os comportamentos discriminados nos arts. 10 a 16 desta Lei sero apurados na forma estabelecida na Lei n 8.112, de 11 de dezembro de 1990, quando praticados na forma abaixo: I _ com considervel prejuzo para a entidade; II _ com intuito de lucro ou vantagem de qualquer espcie, prprio ou de terceiros; III _ com abuso de confiana; IV _ por motivo ftil; V _ com o uso indevido de senha ou processo de identificao de terceiros; VI _ com a utilizao de qualquer outro meio fraudulento. Pargrafo nico. Aplicar-se- o disposto no caput quando os comportamentos se verificarem em rgos ou entidades da administrao direta ou indireta da Unio, dos Estados e do Distrito Federal, empresas concessionrias de servios pblicos, fundaes institudas ou mantidas pelo Poder Pblico, empresas de servios sociais autnomos, instituies financeiras ou empresas que explorem ramo de atividade controlada pelo Poder Pblico, localizados no Distrito Federal.
320
Seo II Da Negligncia ou Omisso de Informaes Art. 10. Negligenciar ou omitir informaes no tratamento, guarda e manuseio dos sistemas e redes de computadores e dados. Seo III Da Alterao de Dados ou Programas de Computador Art. 11. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dados ou programas de computador, de forma indevida ou no autorizada. Seo IV Do Acesso ou da Obteno Indevidos ou No Autorizados de Dados ou Instruo de Computador Art. 12. Obter acesso, manter ou fornecer a terceiro, dados, instruo ou qualquer meio de identificao ou acesso a computador ou a rede de computadores, de forma indevida ou no autorizada. Seo V Da Alterao de Senha ou Mecanismo de Acesso a Programa de Computador ou Dados Art. 13. Apagar, destruir, alterar ou de qualquer forma inutilizar senha ou qualquer outro mecanismo de acesso a computador, programa de computador ou dados, de forma indevida ou no autorizada. Seo VI Da Violao de Segredos Armazenados em Computador, Meio Eletrnico de Natureza Magntica, ptica ou Similar Art. 14. Obter segredos das entidades de que trata esta Lei, da indstria ou do comrcio, ou informaes pessoais armazenadas em computador, rede de computadores, meio eletrnico de natureza magntica, ptica ou similar, de forma indevida ou no autorizada. Seo VII Da Criao, do Desenvolvimento e da Insero em Computador de Dados ou Programa de Computador com Fins Nocivos Art. 15. Criar, desenvolver ou inserir dados ou programa em computador ou rede de computadores, de forma indevida ou no autorizada, com a finalidade de apagar, destruir, inutilizar ou modificar dados ou programa de computador, ou de qualquer forma dificultar ou impossibilitar, total ou parcialmente, a utilizao de computador ou rede de computadores. Seo VIII Da Veiculao de Pornografia por Meio de Rede de Computadores Art. 16. Disseminar servio ou informao de carter pornogrfico em rede de computadores, sem exibir previamente, de forma facilmente visvel e destacada, aviso sobre a sua natureza, indicando o seu contedo. CAPTULO V DISPOSIES FINAIS
321
Art. 17. Sero aplicadas as sanes dispostas na Lei n 8.112, de 11 de dezembro de 1990, queles que adotarem os comportamentos definidos na presente Lei. Art. 18. Esta Lei regula os procedimentos relativos a informtica sem prejuzo das demais cominaes previstas em outros diplomas legais. Art. 19. O Poder Executivo regulamentar esta Lei no prazo de trinta dias. Art. 20. Esta Lei entra em vigor na data de sua publicao. Art. 21. Revogam-se as disposies em contrrio. Publicada no DODF de 21.07.2000.
322
ANEXO B
323
GLOSSRIO
Claviculrio: Chaveiro. (http://www.priberam.pt/dlpo/definir_resultados.aspx) . Damper: So usados para proteo interna dos dutos de ventilao, impedindo a propagao pelas aberturas nos demais ambientes.
(http://www.priberam.pt/dlpo/definir_resultados.aspx). Multiplexador: Dispositivo cuja funo multiplexar sinais permitindo a sua transmisso em um mesmo meio de transmisso. (http://www.teleco.com.br). Risco: lat.Perigo ou possibilidade de perigo. jur. Possibilidade de perda ou responsabilidade pelo dano. (Dicionrio Aurlio 2a Edio, p.1512). Segurana: 1. Ato ou efeito de segurar. 2. Estado, qualidade ou condio de seguro. 3. Condio daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convico. (Dicionrio Aurlio 2a Edio, p.1563). Sprinkler: pulverizador, regador; extintor de incndio; carro de irrigao; vaporizador; disperso, espalhado (http://www1.uol.com.br/babylon, 2004). Time lapse: O Time Lapse um aparelho utilizado para gravao de imagens. um aparelho semelhante ao vdeo cassete e tem capacidade mdia de gravao de 960 horas consecutivas. (Fonte: http://www.aemp.com.br, 2004).
Salgado, Ivan Jorge Chueri. Anlise de segurana fsica em conformidade com a norma ISO/IEC 17799 / Ivan Jorge Chueri Salgado, Rivanildo Sanches da Silva, Ronaldo Bandeira; Professor orientador Reinaldo Mangialardo. Guar : [s. n.], 2004. 325 f. : il. Monografia (Graduao em Tecnologia em Segurana da Informao) Instituto Cientfico de Ensino Superior e Pesquisa, 2004.