Análise de Segurança Física em Conformidade Com A Norma ABNT NBR ISO - IEC 17799

FACULDADES INTEGRADAS ICESP
CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO
IVAN JORGE CHUERI SALGADO RONALDO BANDEIRA RIVANILDO SANCHES DA SILVA
Anlise de Segurana Fsica em Conformidade com a Norma ABNT NBR ISO/IEC 17799
BRASLIA 2004
Monografia apresentada como requisito parcial, para a concluso do curso de Tecnologia em Segurana da Informao.
Orientador: Prof. Reinaldo Mangialardo
BRASLIA 2004
FACULDADES INTEGRADAS ICESP CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO
Monografia apresentada como requisito parcial, para a concluso do curso de Tecnologia em Segurana da Informao.
Aprovada por:
_________________________________________ Prof. Reinaldo Mangialardo
_________________________________________ Prof.
_________________________________________ Prof.
BRASLIA 2004
DEDICATRIA
Ivan Jorge Chueri Salgado: Ao meu filho Rodrigo, que, com apenas 10 anos de idade, teve maturidade, sabedoria e respeito aos limites impostos pelas necessidades acadmicas e desenvolvimento humano.
Ronaldo Bandeira: A meus pais e minha namorada, pela pacincia, dando-me todo o apoio necessrio concluso desta obra.
Rivanildo Sanches da Silva: Dedico este trabalho aos meus pais e minha famlia, que sempre me apoiaram e estiveram ao meu lado em todos os momentos e principalmente a Deus que me deu a oportunidade de viver todos estes instantes de minha vida.
AGRADECIMENTOS
Ivan Jorge Chueri Salgado: Ana Maria Azevedo, pelo incentivo na minha retomada aos estudos e pela pacincia diante das dificuldades impostas pela falta de ateno e dedicao famlia, e tambm, ao meu amigo Ronaldo que dividiu grande parte das incertezas e dos momentos mais brilhantes desta obra.
Ronaldo Bandeira: Ao meu amigo Ivan, pela grande contribuio do seu conhecimento a esta obra, e pelo seu empenho.
Rivanildo Sanches da Silva: A Deus, aos nossos amigos que contriburam para realizao deste trabalho, aos professores Reinaldo Mangialardo e professora Paula pelo apoio e dedicao.
LISTA DE ABREVIATURAS
ABNT Associao Brasileira de Normas Tcnicas BS British Standard (Padro Britnico) CFTV Circuito Fechado de TV CPD Centro de Processamento de Dados CPU - Unidade Central de Processamento IEC - International Electrotechnical Commission (Comisso Eletrotcnica Internacional) ISO International Organization for Standardization (Organizao Internacional de Padronizao) NFPA National Fire Protection Association (Associao Nacional de Proteo Contra Fogo) PCN Plano de Continuidade de Negcio PIN - Personal identification number (Nmero de identificao individual) UPS Uninterruptable Power Supply (Suprimento Ininterrupto de Energia)
SUMRIO
1 INTRODUO ........................................................................................................... 11 1.1 Justificativa .............................................................................................................. 17 1.2 Objetivos.................................................................................................................. 20 1.3 Escopo do Projeto..................................................................................................... 22 1.3.1 Descrio das reas envolvidas ............................................................................. 22 1.4 ESTRUTURA ORGANIZACIONAL ...................................................................... 24 1.5 RECURSOS DO PROJETO ..................................................................................... 26 1.6 REFERENCIAL TERICO ..................................................................................... 26 1.7 METODOLOGIA .................................................................................................... 27 2 SEGURANA E SEUS COMPONENTES .................................................................. 31 2.1 Poltica de segurana ................................................................................................ 43 2.2 Segurana organizacional ......................................................................................... 45 2.2.1 Infra-estrutura da segurana da informao........................................................... 45 2.2.2 Segurana no acesso de prestadores de servios.................................................... 49 2.3 Classificao e controle dos ativos de informao .................................................... 51 2.4 Segurana em pessoas .............................................................................................. 53 2.5 Segurana fsica e do ambiente................................................................................. 58 2.5.1 reas de segurana ............................................................................................... 60 2.5.2 Segurana dos equipamentos ................................................................................ 67 2.5.3 Controles gerais.................................................................................................... 74 2.6 Conformidade .......................................................................................................... 76 2.6.1 Conformidade com requisitos legais ..................................................................... 76 2.7 Anlise da poltica de segurana e da conformidade tcnica ..................................... 80 2.8 Mecanismos e dispositivos de segurana .................................................................. 82 2.8.1 Infra-Estrutura do Data Center ............................................................................. 82 2.8.2 Acesso ao CPD..................................................................................................... 86 3 ESTUDO DE CASO .................................................................................................... 92 3.1 Poltica de segurana ................................................................................................ 92 3.1.1 Situao Atual em Relao Poltica de Segurana .............................................. 92 3.1.1.1 Comit Gestor ...................................................................................................... 92 3.1.2 Recomendaes quanto Poltica de Segurana.................................................... 93 3.1.3 Plano de Ao ...................................................................................................... 95 3.2 Segurana organizacional ......................................................................................... 98 3.2.1 Responsabilidades do Comit de Segurana.......................................................... 99 3.2.2 Coordenao do Comit de Segurana na ELECTRA ......................................... 100 3.2.3 Situao Atual em relao Segurana Organizacional ...................................... 102 3.2.4 Recomendaes quanto Segurana Organizacional da ELECTRA ................... 104 3.2.5 Plano de Ao .................................................................................................... 106 3.3 Classificao e controle dos ativos de informao .................................................. 112 3.3.1 Classificao das informaes ............................................................................ 115 3.3.2 Recomendaes sobre os Ativos e Classificao das informaes....................... 119 3.3.3 Plano de Ao .................................................................................................... 119 3.4 Segurana em pessoas ............................................................................................ 124 3.4.1 Terceirizao...................................................................................................... 127 3.4.2 Fatores humanos................................................................................................. 129
3.4.3 Situao atual em relao Segurana em Pessoas/Fatores Humanos ................. 135 3.4.4 Recomendaes em relao Segurana em Pessoas .......................................... 136 3.4.5 Plano de Ao .................................................................................................... 139 3.5 Segurana fsica e do ambiente............................................................................... 148 3.5.1 Segurana em equipamentos............................................................................... 155 3.5.2 Suprimento de energia eltrica............................................................................ 158 3.5.3 Manuteno dos equipamentos ........................................................................... 161 3.5.4 Diretrizes de proteo......................................................................................... 164 3.5.5 Situao atual do Data Center em relao Segurana Fsica............................. 165 3.5.6 Recomendaes de Segurana Fsica do Data Center ......................................... 177 3.5.6.1 Recomendaes especficas da ELECTRA .......................................................... 177 3.5.6.2 Recomendaes especficas do Data Center ....................................................... 179 3.5.7 Plano de Ao .................................................................................................... 191 3.6 Conformidade ........................................................................................................ 214 3.6.1 Preservao dos registros da ELECTRA ............................................................. 216 3.6.2 Situao atual em relao Conformidade.......................................................... 220 3.6.3 Recomendaes sobre a conformidade................................................................ 223 3.6.4 Plano de Ao .................................................................................................... 224 3.7 Plano de Ao Geral (Todos os Mdulos Analisados)............................................. 226 4 ANLISE DE RESULTADOS .................................................................................. 229 5 CONCLUSO ........................................................................................................... 230 6 REFERNCIAS BIBLIOGRFICAS ........................................................................ 232 APNDICE A ................................................................................................................... 234 APNDICE B.................................................................................................................... 239 APNDICE C.................................................................................................................... 251 APNDICE D ................................................................................................................... 307 ANEXO A ......................................................................................................................... 312 ANEXO B ......................................................................................................................... 322 GLOSSRIO..................................................................................................................... 323
LISTA DE FIGURAS
Figura 1 - Evoluo da Norma BS 17799 ............................................................................. 12 Figura 2 - Principais ameaas segurana da informao..................................................... 14 Figura 3 - Principais pontos de invaso ................................................................................ 15 Figura 4 - Principais medidas de segurana j implementadas .............................................. 15 Figura 5 - Organograma Geral da ELECTRA....................................................................... 22 Figura 6 - Ciclo da Segurana da Informao ....................................................................... 39 Figura 7 - Layout atual do piso da garagem ........................................................................ 235 Figura 8 - Layout atual do piso do Data Center.................................................................. 235 Figura 9 - Layout atual do pavimento trreo ....................................................................... 236 Figura 10 - Layout atual do pavimento tipo ........................................................................ 236 Figura 11`- Sugesto de layout para o 2o. Sub-solo - Garagem........................................... 237 Figura 12 - Sugesto de layout para o 1o. Sub-solo ............................................................ 237 Figura 13 - Sugesto de layout para o pavimento Trreo .................................................... 238 Figura 14 - Sugesto de layout para o pavimento Tipo ....................................................... 238
LISTA DE TABELAS
Tabela 1 - Resultado estimado decorrentes da implementao do plano de ao................. 229
RESUMO
Segurana um termo que transmite conforto e tranqilidade a quem desfruta de seu estado. O produto segurana difcil de ser obtido quando se fala em segurana de informaes, dispostas na forma fsica (em papel), eletrnica (nos meios de transmisso ou de armazenamento) e nas pessoas. Buscar uma segurana absoluta o objetivo maior. Entretanto, implica em controlar todas as variveis que integram esse universo, tornando isto praticamente impossvel. Os caminhos que possibilitam alcanar o objetivo de tornar algo seguro resultam de esforos da comunidade, composta por entidades pblicas e privadas em todo o mundo, que estabeleceram um documento que padroniza, atravs de recomendaes, uma boa gesto da segurana. Este documento deu origem BS 7799-1995, que foi instituda no Brasil pela ABNT Associao Brasileira de Normas Tcnicas atravs da ISO/IEC 17799-2000. A segurana da informao estruturada por diversos componentes, entre eles a segurana fsica. A segurana fsica auxilia e contribui essencialmente para a segurana de informaes, e sem ela os esforos para o estabelecimento de um ambiente lgico seguro seriam perdidos.
Palavras-chave: Segurana Fsica, ISO/IEC 17799, Poltica de segurana, Segurana Organizacional, Classificao e Controle dos Ativos, Segurana em Pessoas, Segurana Fsica e do Ambiente, Conformidade, Controle de Acesso, Riscos, Data Center, Sala-cofre, Integridade, Confidencialidade, Disponibilidade e Legalidade.
ABSTRACT
Security is a word which transmits a sense of comfort and peace to everyone. The product Security is much harder to obtain when it comes to Information. In this case, there is a huge variety of products which comes in a diversity of forms: Physical security (paper), electronic security (data transmissions and storage) and even people security. To seek absolute security is a major goal, but it implies in controlling each and every variable that integrate this universe; something practically impossible to accomplish. The paths that make this major goal possible to achieve are a result of joint efforts, both public and private throughout the world, which established a document whose purpose is to standardize good security procedures. This document origined the BS 7799-1995, established in Brazil by ABNT Associao Brasileira de Normas Tcnicas through the ISO/IES 17799-2000. The safety of the information is structured by several components. One of them, physical security, aids specifically the information security aspect. Without it, efforts to stabelish a safe data environment would be worthless.
Keywords: Physical Security, ISO/IEC 17799, Security Policy, Security Organization, Asset Classification and Control, Personnel Security, Physical and Environmental Security, Compliance, Access Control, Risks, Data Center, IT Security Room, Integrity, Confidentiality and legality.
11
INTRODUO
A segurana da informao um bem diretamente relacionado aos negcios de uma organizao. Seu principal objetivo garantir o funcionamento da organizao frente s possibilidades de incidentes, evitando prejuzos, aumentando a produtividade, provendo maior qualidade aos clientes e vantagens em relao aos seus competidores evidenciando a reputao da organizao. A informao pode ser encontrada sob diversas formas: escrita, eletrnica e impressa. Podem ser transmitidas por diferentes canais como e-mail, correio, filmes, falada, rdio, TV etc. Seja qual for sua forma de existncia ou modo pelo qual transmitida a informao deve ser protegida. Segundo Moreira (2001, p.2):
[...] tecnologias e avanos tm colocado muitas empresas em uma posio delicada em alguns casos. Problemas de origem interna e externa tm marcado presena no dia-a-dia, principalmente nas Organizaes que no possuem Polticas de Segurana implementadas.
A comunidade internacional composta por entidades governamentais, e at mesmo privadas, preocupadas com esta questo da segurana, iniciou, ainda de forma isolada, propostas para tratar o assunto, principalmente nos 12 ltimos anos com a criao, em 1995, da norma como a BS 17799-1 e evoluda para a verso BS 17799 12 em 1999, que passou a ser padro mundial seguido pelas empresas e governos. Surgiu ento a norma NBR ISO/IEC 17799 em 2000, vigorando a partir de setembro deste mesmo ano. A figura abaixo mostra a evoluo.
12
Fonte: www.febraban.org.br/Palestras em 02/11/2004 Figura 1 - Evoluo da Norma BS 17799
Quando se fala em proteger um bem ou ativo de informao significa que este possui um valor para o seu proprietrio. Os ativos de informao podem ser: Servios: processamento de dados, comunicao e fornecimento de energia; Sistemas computadorizados: aplicativos, sistemas bsicos, ferramentas de desenvolvimento; Equipamentos: computadores, equipamentos de comunicao de dados, mdias (fitas e discos), equipamentos de fornecimento de energia alternativa, cofres; Documentos: contratos, demonstraes financeiras;
13
Pessoas: funcionrios, terceiros e clientes; Imagem e reputao da organizao; Informaes: arquivos, bancos de dados, documentao de sistemas, material de treinamento, procedimentos, Plano de Continuidade dos Negcios, relatrios, telas, mdias, mensagens eletrnicas, registros de dados, arquivos de dados.
Edificaes: edifcios, lojas, indstrias, depsitos, containeres, silos, centrais geradoras, linhas de distribuio, torres, etc.
Para alcanar os objetivos propostos, a norma prev a preservao de trs componentes bsicos que so: Confidencialidade; Integridade; Disponibilidade.
A segurana fsica um dos principais componentes da segurana da informao, sem a qual todo o esforo despendido na proteo lgica torna-se ineficaz, pois haveria grande possibilidade de que um incidente, incndio, roubo, sabotagem, interrupo do fornecimento de energia, problemas com climatizao, inundao, interrupo no abastecimento de gua etc, pudessem ocorrer comprometendo a continuidade do negcio a partir da no preservao dos trs componentes bsicos citados acima.
14
Alm desses pode-se citar a Legalidade como outro componente que visa o enquadramento da organizao no mbito legal, sendo abrangido por leis federais, estaduais, municipais e a poltica de segurana da organizao. Segundo Dias (2000, p.107):
A falta de controles ambientais adequados pode provocar danos aos equipamentos, causados por desastre natural, picos de energia, descarga eltrica de um raio, temperaturas extremas ou eletricidade esttica. Pode ainda ocorrer perda de dados devido s falhas ou falta de fornecimento de energia. A indisponibilidade dos sistemas computacionais pode acarretar problemas econmicos e perda de competitividade da empresa no mercado.
Estatsticas
Algumas estatsticas sero apresentadas para um melhor entendimento sobre a importncia da segurana fsica no contexto da segurana da informao e esto baseados na 9a Pesquisa de Segurana da Informao Mdulo (2003) conforme abaixo:
Figura 2 - Principais ameaas segurana da informao
15
As Falhas na Segurana Fsica foram apontadas por 37% dos entrevistados como uma das principais ameaas, mostrando que atualmente a Segurana Fsica faz parte da preocupao do Security Officer.
Figura 3 - Principais pontos de invaso
A invaso Fsica corresponde a 6% dos principais pontos de invaso, mostrando que a Segurana Fsica to importante quanto a lgica, pois quando indevidamente implementada, ocasiona vulnerabilidades a empresas.
Figura 4 - Principais medidas de segurana j implementadas
16
A Segurana Fsica na Sala de Servidores corresponde a 63% das medidas de segurana j implementadas. A tendncia que a implementao da Segurana Fsica na Sala de Servidores ganhe mais posies neste ranking nos prximos anos.
Definio
O assunto abordado sobre a Segurana Fsica, pois esta relegada ao segundo escalo da Segurana da Informao.
Delimitao
Este projeto tem como objetivo abordar um estudo e uma anlise de Segurana Fsica em conformidade com a Norma ISO/IEC 17799. Sero esclarecidos, em mbito geral, conceitos necessrios para que uma empresa consiga alcanar o mais alto nvel de Segurana Fsica, atendendo a situaes dos mais diversos gneros com polticas especificas de atualizao tecnolgica, Poltica de Segurana da Informao e acompanhando as tendncias do mercado.
Esclarecimentos
A organizao analisada receber o nome fictcio de ELECTRA a pedido de sua direo para preservar sua integridade e imagem junto a seus clientes e fornecedores. Este trabalho no visa certificar a empresa analisada com a Certificao BS 7799. O objetivo apenas fazer uma avaliao de Segurana Fsica, diminuindo, ao mximo, a possibilidade de ocorrncia de um incidente de Segurana Fsica.
17
Relacionamento com outros trabalhos

Espera-se que este trabalho possa contribuir como fonte de consulta e discusses futuras sobre o assunto, tendo em vista a escassez de pesquisa abordando de uma forma geral e ampla este tema em um nico documento. So encontrados apenas estudos isolados, com o foco em um ou outro tpico, no mantendo uma relao direta com o contexto de Segurana Fsica em sua concepo total.
Objetivos e finalidades da pesquisa

O objetivo identificar e classificar a situao atual de uma organizao levando-se em conta a Norma ISO/IEC 17799, em seus mdulos que tratam especificamente de Segurana Fsica, e propor aes que minimizem os problemas encontrados.
1.1 Justificativa
A proteo das informaes no pode se restringir apenas aos meios lgicos, mas deve contar com um ambiente fsico seguro. Conseguir um ambiente fsico seguro exige um estudo rigoroso e que considera os aspectos comportamentais e culturais das pessoas, as caractersticas fsicas do local, a poltica, as normas e procedimentos internos. Alm disso, devem ser considerados os agentes externos ao permetro da ELECTRA, considerando as suas vizinhanas mais prximas, compondo um sistema complexo. A inexistncia de uma poltica de
18
segurana no permite que se determinem as diretrizes, normas e os procedimentos que apiam as decises da alta gerncia. O principal motivo deste trabalho sugerir solues de segurana fsica para que os riscos existentes sejam fortemente diminudos, j que a situao atual da segurana delicada. Segundo a Mdulo Security (2004, www.modulo.com.br):
O Computer Emergency Response Team (CERT/CC), centro de pesquisas em segurana na Internet da Universidade de Carnegie Mellon, divulgou nesta semana as estatsticas dos incidentes de segurana registrados em 2003. O levantamento revela um aumento de cerca de 55 mil incidentes em relao aos nmeros obtidos em 2002. De acordo com o estudo, em 2003 foram registrados 137.529 ataques contra 82.094 em 2002. O CERT define "ataques" como tentativas (frustradas ou no) de entrar em locais no autorizados. Em relao s vulnerabilidades reportadas para o centro, o ano de 2003 apresentou uma queda no nmero de falhas de segurana se compararmos com os ndices de 2002 (o total caiu de 4.129 para 3.784). De 1988 at 2003, o centro de pesquisas j registrou um total de 319.992 incidentes de segurana.
Relevncia
Este projeto tem relevncia uma vez identificada a ausncia de manuteno evolutiva da poltica de segurana e tambm da segurana fsica, o que torna oportuno o estudo de alternativas para proteo fsica dos principais ativos como informaes, equipamentos e pessoas, em razo da sua respectiva importncia. Ainda pode-se salientar o baixo nvel de tolerncia a falhas, que no permite interrupes no planejadas no fornecimento do servio, j que seu SLA (Service Level Agreement acordo de nvel de servio) exige 99,999% de disponibilidade anual
(aproximadamente 5 minutos), controle ostensivo s salas de monitorao e controle dos servios vitais da ELECTRA.
19
Relao Custo x Benefcio

Os fatores de destaque deste trabalho em relao aos benefcios e seus respectivos custos so: Tornar a monitorao e o controle sobre os acessos fsicos mais efetivos, investindo em equipamentos de vdeo, catracas e portas com sensores de identificao individual, sensores de presena, com isso diminuindo a equipe de vigilantes existente e conseqentemente baixando os custos com pessoal, possibilitando executar o controle 24 horas por dia e 365 dias por ano, sem perda de qualidade e contando com equipamentos de baixo ndice de manuteno; Proporcionar um ambiente mais seguro para o armazenamento, processamento e monitorao das reas crticas atravs da utilizao de dispositivos de identificao biomtrica em operao conjunta aos sistemas de identificao por senhas, diminuindo sensivelmente os riscos e ameaas de acessos indevidos; Atualmente, estimam-se os custos com segurana na ordem de R$ 700.000,00 e um risco calculado por indisponibilidade do servio na ordem de R$ 20.000.000,00 que deixariam de ser faturados por dia de interrupo, considerando um total de 7 milhes de clientes mensalmente a um consumo mdio de R$ 85,00 por ms, conseqente queda do faturamento, sem se considerar as multas decorrentes do no cumprimento da legislao vigente, de possveis prejuzos financeiros aos seus clientes pela ausncia do servio e danos sua imagem;
20
Quando implementadas as medidas recomendadas espera-se uma reduo dos custos mensais com pessoal na ordem de R$ 30.000,00 por ms, correspondendo a 20 funcionrios, e uma reduo de 90% dos riscos de interrupo decorrentes de falhas da segurana fsica.
Segundo Moreira, (2001, p.120), No existem ambientes 100% seguros. Um nvel alto de proteo pode consumir grandes somas financeiras. Dessa forma, necessrio encontrar o equilbrio entre o nvel desejvel de segurana e o oramento disponvel..
1.2 Objetivos
Objetivo Geral
Executar uma anlise de conformidade com a norma ABNT NBR ISO/IEC 17799 voltada a Segurana Fsica, propondo solues para minimizar os riscos identificados1.
Objetivos Especficos
Identificar os mecanismos de controle dos acessos das pessoas s dependncias da ELECTRA; Identificar os fatores de layout que influenciam a segurana fsica das reas restritas;
Esta anlise no tem como objetivo certificar a ELECTRA em relao norma BS 7799.
21
Identificar os fatores na infra-estrutura de suporte e monitorao que influenciam na segurana fsica;
Identificar os fatores que, decorrentes da ausncia ou da inadequada aplicao da poltica, normas e procedimentos que influenciam na segurana fsica;
Identificar os fatores ligados localizao geogrfica que interferem na segurana fsica da ELECTRA;
Identificar os fatores relacionados s ms instalaes hidrulicas, eltricas, gs, climatizao, preveno e combate a incndio, etc, que influenciam na segurana fsica da ELECTRA;
Identificar os fatores relacionados gerao, transporte e armazenamento fsico de informaes na ELECTRA, que interferem na segurana fsica;
Propor correes e melhorias aos controles, processos, poltica, comunicao interna, sinalizao de segurana, identificao dos funcionrios, terceirizados, equipamentos proprietrios e terceirizados, etc.
22
1.3
Escopo do Projeto
1.3.1 Descrio das reas envolvidas
Estrutura organizacional
Presidente
Diretoria RH
Diretoria Tecnologia
Diretoria Comercial
Diretoria Financeira
Gerncia 1
Gerncia 2
Gerncia 3
Gerncia 4
Gerncia 5
Figura 5 - Organograma Geral da ELECTRA
O desenvolvimento deste projeto depende essencialmente do apoio de toda a ELECTRA, nos seus diferentes nveis hierrquicos, partindo-se da presidncia e se dirigindo a todas as camadas inferiores.
reas que sero objetos de estudo

So escopo deste trabalho todas as reas que de alguma forma contribuem para o acesso aos ambientes crticos, que esto descritas abaixo: Hall de entrada do piso Trreo;
23
Hall de entrada dos elevadores social e de servio no piso da garagem situado no subsolo;
Acesso ao estacionamento interno de uso comum e carga/descarga; Hall de entrada dos elevadores social e de servio dos pavimentos; Entradas principais dos pavimentos; Pavimento da cobertura; Outros pavimentos estratgicos que contem equipamentos de controle e infra-estrutura;
Salas
estratgicas
por conter documentos, equipamentos
como
servidores, ativos de rede e gerncia alm e das salas da alta administrao; Armrios, eletrocalhas, pisos elevados e quadros de luz, cabos de transmisso de energia e dados, telefonia etc; Condies gerais de iluminao, conservao e limpeza dos diversos pavimentos; Condies gerais dos equipamentos de combate a incndio como extintores, hidrantes, sprinklers (jatos de gua acionados
automaticamente em caso de incndio), detectores de fumaa, suas respectivas distribuies considerando os diversos tipos de materiais inflamveis; reas de acesso comuns aos andares;
24
Condies de acesso s sadas de emergncia, sinalizao e proteo contra entrada no permitida;
Verificao de documentao exposta e sem controle; Inspeo da sala de controle, das cmeras existentes, catracas/portas, com controle de acesso por mecanismo de identificao pessoal e individual;
1.4
ESTRUTURA ORGANIZACIONAL
Modelo de Negcio
A organizao analisada receber o nome fictcio de ELECTRA a pedido de sua direo para preservar sua integridade e imagem junto a seus clientes e fornecedores. Seu modelo de negcio se baseia no provimento dos servios de abastecimento de energia eltrica. A ELECTRA a responsvel pela gesto do negcio em nvel nacional. A estrutura organizacional existende na ELECTRA robusta e hierarquizada, permitindo uma administrao mais eficiente e atendendo as melhores prticas na administrao empresarial. Faz parte desta estrutura hierrquica o presidente, diretores executivos, diretores adjuntos, gerncia e coordenaes.
25
Estrutura de Segurana Existente

A ELECTRA conta com uma poltica de segurana desatualizada, criada h cerca de 20 anos e por isso no plenamente seguida, pois no retrata mais a situao atual. Isto se deve evoluo tecnolgica ocorrida neste perodo. Hoje, esto a disposio equipamentos e dispositivos de controles para segurana fsica de alta tecnologia e confiabilidade. Outro fator que contribuiu fortemente para esta situao originou-se das mudanas arquitetnicas decorrentes das necessidades crescentes do negcio. A ELECTRA no dispe de planos de segurana e o plano de contingncia encontra-se desatualizado pelos mesmos motivos apresentados acima, isto , caso acontea algum incidente grave poder ocorrer a paralisao total da ELECTRA.
Estrutura de Tecnologia
A ELECTRA possui uma estrutura robusta de processamento de dados em um Data Center central, acessados por redes locais Ethernet 100Mb e o backbone de 1Gb. Dentro desta estrutura existem 100 servidores plataforma Windows, 40 servidores plataforma Linux/Unix e um Mainframe. Na matriz, as estaes de trabalho esto distribudas em dois blocos de edifcios de 12 andares cada, As estaes encontram-se distribudas nesses blocos e totalizam cerca de 800 equipamentos. Existem sete filiais, cada uma com sua estrutura prpria de rede, mas convergindo suas conexes para a matriz, acessando o CPD central. Existe um backup site fora de uso, conectado ao CPD central. O nmero de estaes existentes nas filiais da ordem de 550 equipamentos sem considerar as impressoras e outros dispositivos inteligentes de controles de acesso fsico e alarme contra incndio.
26
1.5
RECURSOS DO PROJETO
Instalaes
Uma sala com dois computadores e uma impressora em rede com comunicao externa para Internet e servio de e-mail.
Softwares necessrios
Editor de textos, planilha de clculo, browser de apresentao.
Recursos humanos
Um engenheiro civil; Um engenheiro de segurana do trabalho;
1.6
REFERENCIAL TERICO
Para o desenvolvimento deste trabalho sero utilizadas: ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Cdigo de Prtica para a Gesto da Segurana da Informao. NBR ISO/IEC 17799:So Paulo,2001. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Critrios de Segurana Fsica Relativos ao Armazenamento de dados. NB 1334:1990.
27
DECRETO FEDERAL 3.505, de 13 DE JUNHO DE 2000. LEI 2.572, DE 20 DE JULHO DE 2000. PLANILHA DE LEVANTAMENTO DOS PONTOS RELAVANTES DE SEGURANA FSICA.
1.7
METODOLOGIA
Questionrio (APNDICE C)
Existe um questionrio para cada um dos mdulos da norma utilizados na anlise: Poltica de segurana Segurana organizacional Classificao e controle dos ativos de informao Segurana em pessoas Segurana fsica e do ambiente Cada mdulo dividido em itens em subitens.
As perguntas so baseadas da norma ISO/IEC 17799. Definio dos parmetros da avaliao:
28
Cada item avaliado recebe uma ponderao que foi acordada juntamente com a ELECTRA, sendo: 0 (zero) sem importncia; 2 (dois) mdia importncia; 5 (cinco) muito importante.
A situao atual de cada item classificada conforme o critrio abaixo, que foi acordado com a ELECTRA: No atende 0 (zero) Ausncia total 1 (um) Presena inexpressiva
Sim atende 2 (dois) Presena parcial 3 (trs) Presena total
O clculo feito item a item atravs do produto do peso do item por sua pontuao de presena. Os totais dos itens so somados para compor subtotal do ponto analisado. Estes subtotais so somados e faro a composio da aderncia geral do mdulo analisado. Os percentuais so calculados levando-se em conta os mximos pontos de cada item, que so totalizados conforme descrito acima.
29
Descrio dos campos da planilha: Valores de Referncia: Maior pontuao possvel, resultado da operao do produto dos mximos valores da situao e peso; Valores Apurados: o resultado do produto dos valores da situao e o peso onde estiver demarcado; Aderncia: Percentual de aderncia do mdulo, item e subitem. Legenda: Objetivo do item.
Metodologia da anlise
Anlise on-site: Fotos (APNDICE B): so tiradas fotos de pontos relevantes como vulnerabilidades, reas crticas, ambientes, todas as dependncias do Data Center e todos os andares do prdio, naquilo que poderia ser de interesse da anlise. Vistorias e levantamentos: So feitas vistorias nos ambientes para colher informaes relevantes. Entrevistas: So feitas entrevistas com diretores, gerentes e funcionrios (inclusive terceirizados). utilizado um questionrio (baseado na norma ISO/IEC 17799).
30
Situao Atual: apresentada a situao encontrada na empresa em relao a Segurana da Informao, levando-se em considerao o que pode ser mantido, o que pode ser aperfeioado e o que deve ser mudado. Recomendaes: So feitas recomendaes de melhorias na Segurana da Informao, de acordo com o verificado na situao atual. Plano de Ao: So recomendaes mais profundas visando melhorias na Segurana da Informao da empresa, que ajudam a orientar e determinar a atuao gerencial apropriada s prioridades para o gerenciamento dos riscos Segurana da Informao. Serve como auxlio na implementao de controles que oferecem proteo contra os riscos identificados. Observaes: A anlise baseada na Norma ISO/IEC 17799. A anlise atende ao Decreto Federal 3.505 e Lei 2.572 do GDF. O objetivo da metodologia identificar as necessidades de Segurana da Informao apropriadas para a empresa analisada.
31
SEGURANA E SEUS COMPONENTES
Segurana da informao
O termo Segurana da Informao muito abrangente e requer uma definio para o seu correto entendimento, permitindo estabelecer o escopo do desenvolvimento desta obra. Segundo a NBR ISO/IEC 17799 (2000, p.1):
A informao um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao e conseqentemente necessita ser adequadamente protegida. A segurana da informao protege a informao de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio. A informao pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou atravs de meios eletrnicos, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente. A segurana da informao aqui caracterizada pela preservao de: a) confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso; b) integridade: salvaguarda da exatido e completeza da informao e dos mtodos de processamento; c) disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Segurana da informao obtida a partir da implementao de uma srie de controles, que podem ser polticas, prticas, procedimentos, estruturas organizacionais e funes de software. Estes controles precisam ser estabelecidos para garantir que os objetivos de segurana especficos da organizao sejam atendidos.
Segundo Moreira (2001, p.9):

Todo projeto de Segurana de Informaes procura abranger pelo menos os processos mais crticos do negcio em questo.
32
O resultado esperado de um trabalho como este , sem dvida, que no mnimo todos os investimentos efetuados devam conduzir para: Reduo da probabilidade de ocorrncia de incidentes de segurana; Reduo dos danos/perdas causados por incidentes de segurana; Recuperao dos danos em caso de desastre/incidente. O objetivo da segurana, no que tange informao, a busca da disponibilidade, confidencialidade e integridade dos seus recursos e da prpria informao.
Portanto, a segurana da informao tem como objetivo principal proteger a informao frente aos diversos tipos de ameaas. Para tanto, necessrio que sejam definidos os ativos mais crticos a serem protegidos possibilitando a continuidade dos negcios com o menor nmero de interferncias e interrupes possvel garantindo a qualidade do produto ou servio ofertado dentro dos prazos acordados com seus clientes, refletindo positiva e diretamente na boa imagem da ELECTRA frente a seus clientes. A segurana da informao, segundo a NBR ISO/IEC 17799 (2000, p.1), em seus captulos, presume a implementao de segurana de forma distinta conforme os captulos abaixo: 3. Poltica de Segurana; 4. Segurana Organizacional; 5. Classificao e controle dos ativos de informao; 6. Segurana em pessoas; 7. Segurana Fsica e do ambiente; 8. Gerenciamento das operaes e comunicaes;
33
9. Controle de acesso; 10. Desenvolvimento e manuteno de sistemas; 11. Gesto da continuidade do negcio; 12. Conformidade.
Destes captulos sero utilizados para compor esta obra os seguintes: 3. Poltica de Segurana; 4. Segurana Organizacional 5. Classificao e controle de ativos de informao; 6. Segurana em pessoas; 7. Segurana Fsica e do Ambiente; 12. Conformidade
Estes captulos sero desenvolvidos mais frente nesta obra.
Como proteger a informao

Inicialmente necessrio que se saibam quais so os problemas de segurana e o que deve ser feito, se vivel, para solucionar esses problemas. Desta forma deve ser realizada uma anlise de riscos na ELECTRA. Detectados os riscos e as vulnerabilidades, deve avali-los para mensurar a probabilidade de ocorrncia e o impacto que eles possam vir a causar ELECTRA.
34
a partir das anlises de riscos que a ELECTRA vai orientar as medidas a serem tomadas e os controles a serem estabelecidos a fim de proteger sua informao e manter o pleno funcionamento dos negcios. De acordo com o a probabilidade de acontecimento de um incidente, medidas preventivas sero tomadas ou no, levando em conta o custo de implementao de tais medidas. A escolha dos controles a serem estabelecidos para diminuir os riscos em nvel aceitvel baseada, inicialmente, na anlise de riscos, mas tem um como um grande obstculo o custo de sua implementao e uma dificuldade adicional de ser implementada em empresas pequenas por terem uma estrutura muito centralizada. importante lembrar que cada empresa tem suas especificidades e por isso as medidas de segurana a serem tomadas diferem de caso em caso.
Pilares da segurana
A segurana da informao, conforme descrito acima, baseia-se em caractersticas que estabelecem condies mnimas de uso da informao que so a disponibilidade, confidencialidade e integridade. Podemos ainda citar mais uma caracterstica que a legalidade. Para que uma informao esteja segura devem ser observados os fatores que influenciam cada uma dessas caractersticas. As caractersticas citadas acima sero detalhadas para tornar claro o seu entendimento e importncia na segurana da informao. Disponibilidade: para que seja utilizada a informao ou o ativo precisa estar disponvel e acessvel a quem tenha o privilgio de uso.
35
Confidencialidade: uma informao ou um ativo s pode ser acessado por quem est autorizado a obter ou manter suas informaes. Integridade: uma informao tem que ser oferecida ao seu usurio de forma ntegra, ou seja, que no tenha sido modificada por qualquer pessoa ou processo no autorizado. Legalidade: Conformidade com a legislao vigente. Segundo a NBR ISO/IEC 17799 (2000, p.1):
Disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso; Integridade: salvaguarda da exatido e completeza da informao e dos mtodos de processamento;

Disponibilidade: ([...] a informao deve estar disponvel para a pessoa certa e no momento em que ela precisar.); Integridade: (Consiste em proteger a informao contra qualquer tipo de alterao sem a autorizao explcita do autor da mesma.); Confidencialidade: ([...] a propriedade que visa manter o sigilo, o segredo ou a privacidade das informaes evitando que pessoas, entidades ou programas no autorizados tenham acesso s mesmas.)
Normas, leis e decretos

A Constituio a lei maior de uma nao que dita as principais regras que devero ser seguidas pelos cidados. Apenas a Constituio no capaz de abranger todas as situaes. preciso que seja complementada com leis ordinrias e especficas que tratam as situaes particulares considerando a diversidade dos assuntos.
Constituio: Lei fundamental e suprema dum Estado, que contm normas e respeitantes formao dos poderes polticos, forma de governo,
36
distribuio de competncias, direitos e deveres dos cidados, etc. (Dicionrio Aurlio da Lngua Portuguesa, 2a Edio, p.460).
Portanto, h um regimento supremo que confere responsabilidades aos cidados e suas competncias. Dessa forma, cada competncia pode ser tangida por leis especficas. Na tecnologia da informao, mais especificamente na segurana da informao no diferente. necessria a existncia de leis que regulem e padronizem a forma com a qual os usurios relacionaro com as organizaes e seus ativos de informao. As leis atuam nos mbitos federal, estadual, municipal ou mesmo organizacional. Esta ltima a que estabelece uma poltica dentro de uma instituio. A utilizao da informao pelo usurio ocorre de diversas maneiras, atravs de um computador conectado em rede (Internet), utilizando o sistema de sua organizao, manipulando papis, transportando informaes em mdias, armazenando mdias etc. Para que as informaes sejam mantidas asseguradas preciso que alguns cuidados sejam tomados. A implementao de uma poltica de segurana institucional, suas normas e procedimentos so essenciais para diminuir a possibilidade de algum incidente que comprometa a ELECTRA. As normas, leis e decretos federais, estaduais e municipais vm servir de suporte para a correta implantao da poltica de segurana. Dessa forma podemos destacar algumas normas, leis e decretos que esto presentes e atuantes na legislao brasileira que so: NBR ISO/IEC 17799: Esta Norma equivalente ISO/IEC 17799:2000. Esta Norma contm o anexo A, de carter informativo. O anexo A foi incorporado a esta traduo da ISO/IEC 17799:2000, a fim de prestar
37
informaes na descrio de termos na lngua inglesa mantidos nesta Norma, por no possurem traduo equivalente para a lngua portuguesa. Esta Norma fornece recomendaes para gesto da segurana da informao para uso por aqueles que so responsveis pela introduo, implementao ou manuteno da segurana em suas organizaes. Tem como propsito prover uma base comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de gesto da segurana e prover confiana nos relacionamentos entre as organizaes. Convm que as recomendaes descritas nesta Norma sejam selecionadas e usadas de acordo com a legislao e as regulamentaes vigentes; Decreto No 3.505, de 13 de junho de 2000: Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal, ANEXO A; Lei No 2.572, de 20 de julho de 2000: Dispe sobre a preveno das entidades pblicas do Distrito Federal com relao aos procedimentos praticados na rea de informtica, ANEXO A; Lei No 234 de 1996: Dispe sobre crime contra a inviolabilidade de comunicao de dados de computador. (Segurana e Auditoria da Tecnologia da Informao, Claudia Dias, Axcel Books, p.46). Portanto, as normas, leis e decretos servem de base para o desenvolvimento e concluso desta obra permitindo doutrinar o uso e estabelecer padres de segurana da informao. Observa-se que as leis e decretos esto focados s empresas pblicas,
38
ficando desamparadas as empresas privadas, que se referenciam aos recursos existentes.
Riscos
Alguns conceitos necessitam ser expostos para o correto entendimento do que risco e suas implicaes. Segundo Galvo e Poggi (2002, p.5):
Um ativo algo que tem valor para a empresa, e portanto precisa ser protegido. Os ativos podem ser fsicos (computadores, equipamentos, infraestruturas de transmisso de dados, prdios, etc), softwares, informaes (documentos, bancos de dados, etc), processos, pessoas, e at mesmo intangveis (por exemplo, a imagem da empresa). muito importante avaliar periodicamente o grau de risco dos ativos, porque eles so o suporte de negcios da empresa. Quando se fala em segurana, seja patrimonial, de informaes ou qualquer outro ativo a ser preservado, logo se pensa, do qu se deve proteger este ativo? A resposta mais bvia que se deve proteger de tudo aquilo que venha ameaar o ativo em questo. A possibilidade de que uma ameaa venha a causar danos ao ativo recebe o nome de risco. J que os ativos possuem valor para a empresa, este valor precisa ser avaliado de alguma forma. Esta avaliao pode ser quantitativa, quando existem dados disponveis, ou qualitativa, onde feita uma estimativa da relevncia do ativo para os componentes ou processos do negcio que ele suporta. Uma ameaa um agente ou causa potencial de incidentes que pode ocasionar danos aos ativos, atravs da explorao de vulnerabilidades. Com relao s fontes, as ameaas podem ser humanas (acidentais ou deliberadas) ou ambientais. O acesso no autorizado a dados confidenciais uma ameaa humana deliberada, um erro de parametrizao em um sistema E.R.P. por parte do operador pode ser acidental, e um terremoto uma ameaa ambiental. Uma vulnerabilidade pode ser entendida como sendo uma fragilidade qualquer do ativo que pode ser explorada por uma ameaa.
39
NEGCIO protegem
baseado
INFORMAO sujeita
contm MEDIDAS DE SEGURANA reduzem IMPACTOS NO NEGCIO aumentam
contm VULNERABILIDADE
diminuem RISCOS
aumentam permitem
aumentam
AMEAAS
aumentam comprometem causam INTEGRIDADE CONFIDENCIALIDADE DISPONIBILIDADE

Fonte: Dias (2000, p.21) Figura 6 - Ciclo da Segurana da Informao
Segundo o dicionrio Priberam (02/11/2004, www.priberam.pt), o termo risco definido como: perigo; possibilidade de correr perigo. Segundo Galvo e Poggi (2002, p.6), Denominamos risco ao potencial que uma ameaa tem de explorar vulnerabilidades em um ativo. Este potencial resulta da probabilidade de que esta explorao venha a efetivamente a ocorrer, e do impacto resultante..
40
Galvo e Poggi, White Paper, 2002 Figura 5 - Risco como Probabilidade x Impacto
Caso uma ameaa venha a se confirmar como um evento concreto e possibilitar um dano ao bem, preciso se estimar qual a extenso do mesmo. Estes aspectos so tangidos por um processo de anlise de risco que considera algumas variveis como componentes que atuam diretamente ao risco que so: valor do bem e seus componentes, possveis causas, possibilidade de ocorrncia e extenso do dano. Segundo a NBR ISO/IEC 17799 (2000, p.2):
A anlise de risco uma considerao sistemtica de: a) do impacto nos negcios como resultado de uma falha de segurana, levando-se em conta as potenciais conseqncias da perda de confidencialidade, integridade ou disponibilidade da informao ou de outros ativos; b) da probabilidade de tal falha realmente ocorrer luz das ameaas e vulnerabilidades mais freqentes e nos controles atualmente implementados.

A anlise de risco consiste em um processo de identificao e avaliao dos fatores de risco presentes e de forma antecipada no Ambiente
41
Organizacional, possibilitando uma viso do impacto negativo causado aos negcios. As medidas de segurana no podem assegurar 100% de proteo, e a organizao deve analisar a relao custo/beneficio de todas. A organizao precisa achar o nvel de risco ao qual estar disposta a correr. Este processo deve proporcionar as seguintes informaes: Pontos vulnerveis do ambiente; Ameaas potenciais ao ambiente; Incidentes de segurana causados pela ao de cada ameaa; Impacto negativo para o negcio a partir da ocorrncia dos incidentes provveis de segurana; Riscos para o negcio a partir de cada incidente de segurana; Medidas de proteo adequadas para permitir ou diminuir o impacto de cada incidente.
Os maiores riscos so aqueles que no vemos ou no conhecemos; assim o conhecimento do ambiente, e das reais necessidades, tem um papel to ou mais importante do que as ferramentas que eventualmente venhamos a utilizar.
Segundo Dias (2000, p.69), Normalmente os impactos so analisados sob dois aspectos: curto prazo e longo prazo, em funo do tempo em que o impacto, causado por uma ameaa, permanece afetando os negcios da instituio.. Segundo o Galvo e Poggi, (2002, p.5), Se o hacker conseguir acesso indevido a dados confidenciais, ter ocorrido um incidente de segurana, que certamente ter conseqncias. Damos o nome de impacto ao resultado deste incidente..
Analisando impactos e calculando riscos

Existem diversas formas de se analisar os impactos, uma delas classificandoos. Apenas para ilustrar, abaixo est uma classificao que pode ser utilizada em diversas situaes.
42
Os impactos devem ser classificados para que sejam adequadamente entendidos pelos gestores de uma organizao, ento ser considerada a seguinte classificao: 0 Impacto irrelevante; 1 Efeito pouco significativo, sem afetar a maioria dos processos de negcios da ELECTRA; 2 Sistemas no disponveis por um determinado perodo de tempo, podendo causar perda de credibilidade junto aos clientes e pequenas perdas financeiras; 3 Perdas financeiras de maior vulto e perda de clientes para a concorrncia; 4 Efeitos desastrosos, porm sem comprometer a sobrevivncia da ELECTRA; 5 Efeitos desastrosos, comprometendo a sobrevivncia da ELECTRA. Alm do nvel do impacto, podem ser definidos vrios tipos de impactos intrinsecamente relacionados aos negcios, que devem ser definidos pelas pessoas que mais o conhecem. Os tipos de impactos considerados so: 0 Ameaa completamente improvvel de ocorrer; 1 Probabilidade de a ameaa ocorrer menos de uma vez por ano; 2 Probabilidade de a ameaa ocorrer pelo menos uma vez por ano; 3 Probabilidade de a ameaa ocorrer pelo menos uma vez por ms; 4 Probabilidade de a ameaa ocorrer pelo menos uma vez por semana; 5 Probabilidade de a ameaa ocorrer diariamente.
43
2.1
Poltica de segurana
A poltica de segurana tem como objetivo fornecer direo da ELECTRA subsdios para o estabelecimento e manuteno da segurana da informao. A direo da ELECTRA deve participar desde a elaborao da poltica at a sua divulgao contando com o seu apoio irrestrito. Sua escrita deve ser simples apresentando os assuntos de forma clara para que seja compreendida por todos na ELECTRA. A poltica deve ser constantemente atualizada acompanhando a modernizao tecnolgica, as mudanas organizacionais de infra-estrutura e de recursos humanos estando completamente alinhada aos objetivos do negcio e porte da ELECTRA. Segundo a NBR ISO/IEC 17799 (2000, p.4), no seu captulo 3 Poltica de Segurana, diz: Objetivo: Prover direo uma orientao e apoio para a segurana da informao.
Ainda segundo a norma NRB ISO/IEC 17799 (2000, p.4), recomenda-se que algumas orientaes seja includas em seu documento:
a) definio de segurana da informao, resumo das metas e escopo e a importncia da segurana como um mecanismo que habilita o compartilhamento da informao (ver introduo); b) declarao do comprometimento da alta direo, apoiando as metas e princpios da segurana da informao; c) breve explanao das polticas, princpios, padres e requisitos de conformidade de importncia especfica para a organizao, por exemplo: 1) conformidade com a legislao e clusulas contratuais; 2) requisitos na educao de segurana;
44
3) preveno e deteco de vrus e software maliciosos; 4) gesto da continuidade do negcio; 5) conseqncias das violaes na poltica de segurana da informao; d) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana; e) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam.
Portanto, a poltica de segurana um conjunto de princpios que do suporte gesto da segurana de informaes perante a alta gerncia e o corpo tcnico da ELECTRA, dividindo-se em normas que ditam as diretrizes gerais da poltica, as normas.
Documento da poltica de segurana

O documento requer a sua aprovao por parte da direo da ELECTRA, devendo ser publicado e comunicado de forma adequada para todos os funcionrios. Segundo a norma NBR ISO/IEC 17799 (2000, p.4), a norma deve conter:
a) definio de segurana da informao, resumo das metas e escopo e a importncia da segurana como um mecanismo que habilita o compartilhamento da informao (ver introduo); b) declarao do comprometimento da alta direo, apoiando as metas e princpios da segurana da informao; c) breve explanao das polticas, princpios, padres e requisitos de conformidade de importncia especfica para a organizao, por exemplo: 1) conformidade com a legislao e clusulas contratuais; 2) requisitos na educao de segurana; 3) preveno e deteco de vrus e software maliciosos; 4) gesto da continuidade do negcio;
45
5) conseqncias das violaes na poltica de segurana da informao; d) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana; e) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam.
A constante preocupao na divulgao da poltica, como meio para conscientizao dos funcionrios sobre seu contedo e suas obrigaes, deve ser preservada, reciclando o conhecimento aos que permanecerem na ELECTRA e fidelizando aqueles que acabaram de ser contratados. Deve ser eleito um responsvel pela manuteno do documento e anlise crtica atravs de um processo definido.
2.2
Segurana organizacional
Seu objetivo gerenciar a segurana da organizao. A norma NBR ISO/IEC 17799 recomenda a implementao de uma gerncia e que promova a implantao e o controle da segurana da informao na organizao.
2.2.1 Infra-estrutura da segurana da informao
Uma poltica de segurana fundamental para apoiar e estabelecer os nveis de conhecimento atravs de treinamentos constantes para novos funcionrios ou terceiros que venham a desempenhar alguma atividade na organizao.
46
Gesto do frum de segurana da informao

Compete organizao eleger um frum representativo que estabelea as diretrizes de segurana, responsveis e suas competncias. Segundo Dias (2000, p.79):
O gerente de segurana deve ter em mente trs princpios bsicos: prevenir o acesso de pessoas no autorizadas aos sistemas e informaes; impedir que aqueles que conseguirem acesso, autorizado ou no, danifiquem ou adulterem qualquer coisa; e, uma vez ocorrida a contingncia, estar preparado para identificar suas causas, recuperar os sistemas e dados e modificar os controles para que o problema no torne a acontecer.
Coordenao da segurana da informao

Composta por uma equipe multidisciplinar, a coordenao da implantao estabelece os controles da segurana da informao, nos quais: Busca das regras e responsabilidades especficas para a segurana da informao; Busca as metodologias e processos especficos para a segurana da informao, tais como avaliao de risco e sistema de classificao de segurana; Busca e apia iniciativas de segurana da informao aplicveis por toda a organizao, como por exemplo programa da conscientizao em segurana; Garante que a segurana seja parte do processo de planejamento da informao;
47
Avalia a adequao e coordena a implementao de controles especficos de segurana da informao para novos sistemas ou servios;
Analisa criticamente incidentes de segurana da informao; Promove a visibilidade do suporte aos negcios para segurana da informao atravs da organizao.
Atribuio das responsabilidades em segurana da informao

recomendado que a responsabilidade pela atribuio de segurana aos ativos sejam definidas de forma clara e que cada ativo, fsico e de informao, tenha um gestor responsvel. Compete ao gestor eleger ou no um proprietrio para um ativo, e este pode delegar a outro, entretanto sem se eximir de suas responsabilidades.
Processo de autorizao para as instalaes de processamento da informao

Convm que qualquer instalao, seja hardware ou software, seja
convenientemente aprovada pelo gestor do recurso/ambiente, preservando a integridade do recurso/ambiente.
Consultoria especializada em segurana da informao

Recomenda-se a utilizao de um consultor especialista. Nem todas as organizaes dispem de um, podendo buscar externamente tal profissional atravs da
48
recomendao de um colaborador que coordenar todo o conhecimento e as experincias, garantindo a consistncia e auxiliando nas tomadas de deciso. Em caso de incidentes o consultor poder compor a equipe de investigao auxiliando na identificao das ameaas e das vulnerabilidades, at mesmo propondo mudanas direo.
Cooperao entre organizaes

Convm que sejam mantidos contatos apropriados com autoridades legais, organismos reguladores, provedores de servio de informao e operadores de telecomunicaes, de forma a garantir que aes adequadas e apoio especializado possam ser rapidamente acionados na ocorrncia de incidentes de segurana. De forma similar, convm que a filiao a grupos de segurana e a fruns setoriais seja considerada. Convm que trocas de informaes de segurana sejam restritas para garantir que informaes confidenciais da organizao no sejam passadas para pessoas no autorizadas.
Anlise critica independente da segurana da informao

O documento da poltica de segurana da informao estabelece a poltica e as responsabilidades pela segurana da informao. Convm que a sua implementao seja analisada criticamente, de forma independente, para fornecer garantia de que as prticas da organizao reflitam apropriadamente a poltica, e que esta seja adequada e eficiente.
49
Tal anlise crtica pode ser executada pela auditoria interna, por um gestor independente ou por uma organizao prestadora de servios especializada em tais anlises crticas, onde estes possurem habilidade e experincia apropriadas.
2.2.2 Segurana no acesso de prestadores de servios
Identificao dos riscos no acesso de prestadores de servio; Tipos de acesso; o Acesso fsico: qualquer acesso aos ambientes crticos, Data Center, almoxarifado, armrios de equipamentos e cabeamentos, sala dos diretores, sala de gerncia e controle de alarmes etc, deve ser controlado e autorizado atravs de mecanismos e dispositivos biomtricos, caso a situao exija. Razes para o acesso; o Necessidade de manuteno e suporte mediante contrato estabelecido entre as partes; o Parcerias no desenvolvimento de produtos ou negcios onde h necessidade de estudos em conjunto; o A cada tipo de acesso devem ser estudados os ativos de informao envolvidos, sua criticidade e valores para a
50
organizao, assim dimensionando o correto controle para o acesso dos terceiros. Contrato para servios internos; o Existem diversos prestadores de servios, equipes de suporte e manuteno, pessoal de limpeza, estagirios, sub-locao de servios; o recomendvel que o contrato possua clusulas de confidencialidade e penalidade caso seja descumprido no todo ou em parte; o recomendvel responsabilizar o contratado por toda e qualquer mudana no quadro de seus colaboradores que possuem acessos ELECTRA; o recomendvel que os acessos expirem nas datas em que os contratos deixam de ser vlidos. Requisitos de segurana nos contratos com prestadores de servios; Convm que todo e qualquer acesso de terceiros ELECTRA seja baseado em contrato formal que fornea as informaes necessrias ao cumprimento da poltica de segurana da ELECTRA; Recomenda-se que todos os ativos envolvidos estejam declarados em contrato, sendo os contratados responsabilizados por danos causados aos mesmos;
51
2.3
Classificao e controle dos ativos de informao
Os objetivos desta seo so definir a classificao, o registro e o controle das informaes da organizao.
Contabilizao dos ativos de informao

A contabilizao tem como objetivo manter a proteo adequada dos ativos de informao da organizao. Por isso, faz-se necessrio inventariar todos os ativos de informao para garantir que a proteo seja mantida de forma correta. A informao deve possuir um proprietrio responsvel e identificado. A ele atribuda a responsabilidade pelo controle da implementao e manuteno.
Inventrio dos ativos de informao

O objetivo do inventrio dos ativos da informao garantir a implementao efetiva e correta das protees. Assim, necessrio que a organizao seja capaz de identificar seus ativos de informao, com seus respectivos valores e importncia, e cujos nveis de proteo implementados estejam relacionados diretamente com eles. Para tanto, se faz necessrio estruturar e manter um inventrio dos principais ativos associados com seus respectivos sistemas de informao. Cada ativo de informao e seu respectivo proprietrio devem estar claramente identificado, assim como a classificao de segurana desse ativo deve estar acordada e documentada, juntamente com sua localizao atual (dado importante para o plano de contingncia).
52
Classificao da informao
O objetivo da classificao da informao garantir que os ativos de informao recebam um nvel adequado de proteo, pois a informao possui vrios nveis de sensibilidade e criticidade. A informao deve ser classificada para indicar a importncia, a prioridade e o nvel de proteo. Pode ser que informaes mais sensveis recebam um nvel adicional de proteo ou um tratamento especial. Um sistema de classificao da informao deve ser usado com intuito de definir nveis mais adequados de proteo.
Recomendaes para classificao

recomendado que a classificao da informao e seus respectivos controles de proteo levem em considerao as necessidades de compartilhamento ou restrio da informao com seus respectivos impactos nos negcios. A informao deve ser classificada e rotulada de acordo com seu valor, sensibilidade e criticidade, e esta rotulao deve ser feita de forma bem criteriosa, para evitar classificaes que no condizem com a realidade da informao. As regras de classificao devem, ainda, levar em considerao que algumas informaes no devem possuir uma classificao fixa, pois sua sensibilidade varia com o tempo, e que sua rotulao pode ser modificada de acordo com uma poltica predeterminada. Ateno especial deve ser dada interpretao dos rtulos nas informaes de terceiros, para averiguar se as definies destes so as mesmas utilizadas pela organizao.
53
A responsabilidade pela classificao da informao e sua reviso peridica devem ficar a cargo de seu autor ou do proprietrio responsvel por ela.
Rtulos e tratamento da informao

importante definir os procedimentos para rotular a informao em conformidade com a poltica de classificao da informao adotada pela organizao. Cada classificao deve abranger as atividades de cpia, armazenamento e tipos de transmisso a que a informao est sujeita, e ainda, como e quando dever ser executada a destruio de sua mdia.
2.4
Segurana em pessoas
Os objetivos desta seo so: reduzir os riscos de falha humana, roubo, fraude ou uso imprprio das instalaes; assegurar que os usurios, de acordo com seus cargos, estejam cientes das ameaas segurana da informao; assegurar que os usurios estaro preocupados e treinados em apoiar a poltica de segurana da informao no desenvolvimento rotineiro de suas tarefas, ajudando a minimizar os danos de incidentes e o mau funcionamento da segurana, sabendo como agir em caso de incidentes.
Segurana nos recursos e na definio de trabalho

O objetivo da segurana nos recursos e na definio de trabalho reduzir os riscos de falha humana, roubo, fraude ou uso indevido das instalaes. Isso exige que
54
todos os funcionrios, terceiros e usurios das instalaes de processamento da informao assinem um acordo de sigilo. Na sua fase de manuteno, as responsabilidades de segurana devem ser atribudas aos funcionrios e terceiros ainda durante o processo de recrutamento e contratao, includas em contrato e monitoradas ininterruptamente.
Incluso da segurana nas responsabilidades de trabalho

Regras de responsabilidades de segurana devem ser documentadas de acordo com a poltica de segurana da informao da organizao. A poltica de segurana deve tambm incluir as responsabilidades gerais pela sua implementao e manuteno, bem como qualquer responsabilidade especfica para a proteo de determinados ativos de informao ou pela execuo de determinados processos e atividades de segurana.
Poltica de pessoal
necessrio verificar, no momento de sua contratao ou promoo, a idoneidade de funcionrios que de alguma maneira tero acesso s informaes consideradas sensveis ou sigilosas. Para aqueles funcionrios que ocupam cargos revestidos de autoridade, e que tm tambm acessos a essas informaes, necessrio que a checagem seja refeita periodicamente. Os funcionrios novos e sem experincia, que tm autorizao para acesso a sistemas sensveis devem passar por um perodo de avaliao e superviso. Um processo similar de seleo deve ser feito para funcionrios temporrios e fornecedores. No caso em que os recursos humanos so fornecidos por agncias de RH, o contrato entre a agncia e a organizao deve
55
especificar claramente a responsabilidade da agncia pela seleo e verificao da idoneidade dos funcionrios.
Acordos de confidencialidade
Os acordos de confidencialidade so importantes para ressaltar o sigilo da informao. Eles devem fazer parte dos termos e condies iniciais de contratao e, alm disso, devem continuar a ter validade, mesmo aps o encerramento do contrato de trabalho. Funcionrios temporrios e fornecedores devem possuir acordos semelhantes.
Termos e condies de trabalho

Os termos e condies de trabalho devem determinar as responsabilidades dos funcionrios pela segurana da informao e devem incluir as aes a serem tomadas em caso de desrespeito ao acordo. Devem determinar, tambm, como sero tratados os direitos legais do funcionrio com relao s informaes por ele criadas na execuo de suas tarefas.
Treinamento dos usurios

O treinamento visa garantir que os usurios estaro cientes das ameaas e das preocupaes de segurana da informao e estaro aptos a apoiar a poltica de segurana da organizao durante a execuo normal de suas tarefas. Para tanto, eles devem ser treinados nos procedimentos de segurana e no uso correto das instalaes de processamento da informao.
56
Educao e treinamento em segurana da informao

Todos os funcionrios e terceiros devem receber internamente treinamento e atualizaes adequados sobre as polticas e procedimentos organizacionais antes que a eles seja disponibilizado qualquer servio ou acesso. O treinamento ministrado pelos multiplicadores da ELECTRA.
Respondendo aos incidentes de segurana e ao mau funcionamento

A resposta aos incidentes de segurana e ao mau funcionamento tem como funo monitorar tais incidentes com o intuito de minimizar os danos causados, alm e aprender com eles. Assim, esses incidentes devem ser notificados o mais rpido possvel, atravs dos canais apropriados. Todos os funcionrios e prestadores de servios devem conhecer os procedimentos a serem tomados no caso da ocorrncia ou suspeita de algum tipo de incidente e devem ser conscientizados a comunic-lo o mais rpido possvel aos canais apropriados. A organizao deve tambm estabelecer um processo disciplinar formal para tratar os funcionrios que cometam violaes de segurana.
Notificao dos incidentes de segurana

Um procedimento de notificao formal deve ser estabelecido, junto com o procedimento de resposta ao incidente, estabelecendo as aes a serem tomadas. Todos os funcionrios devem estar conscientes dos procedimentos e de report-los o mais rpido possvel. Processos de realimentao (feedback) devem ser
implementados para assegurar que os relatrios de incidentes sejam notificados
57
juntamente com os resultados obtidos aps o incidente ser tratado. Tais incidentes podem ser usados nos treinamentos de usurios.
Notificando falhas na segurana

Os usurios devem ser instrudos a comunicar qualquer falha ou ameaa de segurana ocorrida, ou mesmo uma suspeita, a seus superiores, ou diretamente aos provedores de servio. Deve ser informado aos usurios, que, em nenhuma circunstncia, eles devem tentar verificar uma falha suspeita, sob pena de que isso possa ser interpretado como potencial uso imprprio do sistema.
Notificando o mau funcionamento de software

Devem ser estabelecidos procedimentos para notificao de mau funcionamento de software. Os usurios no devem tentar remover o software suspeito, a menos que sejam autorizados, pois a organizao dever possuir pessoal capacitado para tratar de sua recuperao.
Aprendizagem com os incidentes

Devem existir mecanismos que permitam monitorar, qualificar, quantificar os incidentes e maus funcionamentos. Isso servir para ajudar a identificar as necessidades de melhorias nos controles de segurana existentes ou para serem levados em considerao, quando for realizado o processo de reviso da poltica de segurana.
Processo disciplinar
58
Deve ser previsto processo disciplinar formal para os funcionrios que tenham violado as polticas e os procedimentos de segurana. Muitas vezes, a existncia desse processo pode dissuadir funcionrios que estejam inclinados a desrespeitar os procedimentos de segurana. necessrio que qualquer punio esteja enquadrada nas leis vigentes.
2.5
Segurana fsica e do ambiente
Segundo a norma NBR ISO/IEC 17799 (2000,p.14):

O objetivo da segurana fsica : Prevenir acesso no autorizado, dano e interferncia s informaes e instalaes fsicas da organizao. Convm que os recursos e instalaes de processamento de informaes crticas ou sensveis do negcio sejam mantidos em reas seguras, protegidas por um permetro de segurana definido, com barreiras de segurana apropriadas e controle de acesso. Convm que estas reas sejam fisicamente protegidas de acesso no autorizado, dano ou interferncia. Convm que a proteo fornecida seja proporcional aos riscos identificados. Polticas de mesa limpa e tela limpa so recomendadas para reduzir o risco de acesso no autorizado ou danos a papis, mdias, recursos e instalaes de processamento de informaes.
Segundo Maia (2002, www.modulo.com.br ):

As ameaas internas podem ser consideradas como o risco nmero um segurana dos recursos computacionais. Um bom programa de segurana fsica o passo inicial para a defesa da corporao no sentido de proteger as suas informaes contra acessos indevidos. Este programa deve iniciar atravs da realizao de uma anlise de risco. Uma visita s dependncias da empresa pode fornecer resultados interessantes. Os seguintes elementos devem ser checados durante esta anlise: portas das salas trancadas, mesas e armrios trancados, estaes de trabalho protegidas contra acessos indevidos, disposio e proteo das mdias magnticas de armazenamento, cabeamento de rede padronizado e seguro, informaes protegidas (em meio magntico e papel), documentos sobre as mesas, descarte de informaes (se existem trituradoras de papis), reas de circulao de visitantes, reas restritas etc. Uma lista das ameaas de segurana fsica poderia conter os seguintes itens:
59
Incndio (fogo e fumaa); gua (vazamentos, corroso, enchentes); Tremores e abalos ssmicos; Tempestades, furaces; Terrorismo; Sabotagem e vandalismo; Exploses; Roubos, furtos; Desmoronamento de construes; Materiais txicos; Interrupo de energia (bombas de presso, ar-condicionado, elevadores); Interrupo de comunicao (links, voz, dados); Falhas em equipamentos; Outros.
Aps este levantamento, o resultado da anlise deve apontar o grau do risco a que a empresa est exposta em decorrncia das ameaas referentes segurana fsica. De acordo com as reas de maior risco (aquelas que podem causar prejuzos ao negcio se um evento motivado por falha na segurana fsica acontecer), os investimentos devem ser direcionados para que o risco seja minimizado. Por exemplo, pode ser que haja a necessidade de se adquirir equipamentos de controle de acesso baseado em autenticao biomtrica para reas crticas e de circulao restrita, como sala de servidores, alta direo da empresa etc. As medidas de correo e equipamentos necessrios devem ser adquiridos com base no custo-benefcio que proporcionam. Para alguns casos, o prejuzo decorrente de um evento inferior ao valor do investimento a ser feito nas medidas de correo, o que nos faz enxergar com clareza que neste caso, o melhor seria ignorar o risco. Para estas e outras decises que envolvam investimento em segurana, a participao do Security Officer da empresa fundamental. Com sua viso estratgica a respeito dos processos de negcio da empresa, o responsvel pela segurana saber determinar onde e de que forma a empresa dever investir para minimizar os riscos. O direcionamento da origem destes investimentos tambm de suma importncia, uma vez que a rea de TI no deve ser a responsvel pela verba destinada compra de dispositivos de controle de acesso fsico do Departamento Financeiro de uma empresa, por exemplo.
60
A grande mensagem que deixamos aqui que a segurana fsica da empresa to importante quanto a segurana no ambiente de tecnologia, e no deve, de forma alguma, ser deixada de lado. Em relao segurana da informao, no devemos contar com o fator sorte.
Portanto, para se obter um ambiente fsico seguro alguns pontos devem ser observados. Segundo a norma NBR ISO/IEC 17799 (2000, p14), seguem os pontos a serem analisados:
2.5.1 reas de segurana
Prevenir acesso no autorizado, dano e interferncia s informaes e instalaes fsicas da organizao. Convm que os recursos e instalaes de processamento de informaes crticas ou sensveis do negcio sejam mantidos em reas seguras, protegidas por um permetro de segurana definido, com barreiras de segurana apropriadas e controle de acesso. Convm que estas reas sejam fisicamente protegidas de acesso no autorizado, dano ou interferncia. Convm que a proteo fornecida seja proporcional aos riscos identificados. Polticas de mesa limpa e tela limpa so recomendadas para reduzir o risco de acesso no autorizado ou danos a papis, mdias, recursos e instalaes de processamento de informaes.
Permetro de segurana fsica

A proteo fsica pode ser alcanada atravs da criao de diversas barreiras fsicas em torno da propriedade fsica do negcio e de suas instalaes de processamento da informao. Cada barreira estabelece um permetro de segurana, contribuindo para o aumento da proteo total fornecida. Convm que as organizaes
61
usem os permetros de segurana para proteger as reas que contm os recursos e instalaes de processamento de dados. Um permetro de segurana qualquer coisa que estabelea uma barreira. Por exemplo, uma parede, uma porta com controle de entrada baseado em carto ou mesmo um balco de controle de acesso com registro manual. A localizao e a resistncia de cada barreira dependem dos resultados da avaliao de risco. Recomenda-se que as seguintes diretrizes e controles sejam considerados e implementados nos locais apropriados. a) Convm que o permetro de segurana esteja claramente definido. b) Convm que o permetro de um prdio ou local que contenha recursos de processamento de dados seja fisicamente consistente (isto , no podem existir brechas onde uma invaso possa ocorrer facilmente). Convm que as paredes externas do local possuam construo slida e todas as portas externas sejam protegidas de forma apropriada contra acessos no autorizados, como, por exemplo, mecanismos de controle, travas, alarmes, grades etc. c) Convm que uma rea de recepo ou outro meio de controle de acesso fsico ao local ou prdio seja usado. Convm que o acesso aos locais ou prdios seja restrito apenas ao pessoal autorizado. d) Convm que barreiras fsicas sejam, se necessrio, estendidas da laje do piso at a laje superior, para prevenir acessos no autorizados ou contaminao ambiental, como as causadas por fogo e inundaes. e) Convm que todas as portas de incndio no permetro de segurana possuam sensores de alarme e mola para fechamento automtico.
62
Controles de Entrada Fsica

Convm que as reas de segurana sejam protegidas por controles de entrada apropriados para assegurar que apenas pessoas autorizadas tenham acesso liberado. Recomenda-se que os seguintes controles sejam considerados: a) Convm que visitantes das reas de segurana sejam checados quanto permisso para ter acesso e tenham registradas data e hora de sua entrada e sada. Convm que essas pessoas obtenham acesso apenas s reas especficas, com propsitos autorizados e que esses acessos sigam instrues baseadas nos requisitos de segurana e procedimentos de emergncia prprios da rea considerada. b) Convm que o acesso s informaes sensveis, instalaes e recursos de processamento de informaes seja controlado e restrito apenas ao pessoal autorizado. Convm que os controles de autenticao, como por exemplo, cartes com PIN sejam usados para autorizar e validar qualquer acesso. Convm ainda que seja mantida em segurana uma trilha de auditoria contendo todos os acessos ocorridos. c) Convm que todos os funcionrios utilizem alguma forma visvel de identificao e sejam incentivados a informar segurana sobre a presena de qualquer pessoa no identificada ou de qualquer estranho no acompanhado. d) Convm que os direitos de acesso s reas de segurana sejam regularmente revistos e atualizados.
63
Segurana em escritrios, salas e instalaes de processamento

Uma rea de segurana pode ser um escritrio fechado ou diversas salas dentro de um permetro de segurana fsica, que podem estar fechadas ou podem conter armrios fechados ou cofres. Convm que a seleo e o projeto de uma rea de segurana levem em considerao as possibilidades de dano causado por fogo, inundaes, exploses, manifestaes civis e outras formas de desastres naturais ou causados pelo homem. Convm que tambm sejam levados em considerao as regulamentaes e padres de segurana e sade. Tambm devem tratar qualquer ameaa originada em propriedades vizinhas, como por exemplo vazamento de gua de outras reas. Recomenda-se que os seguintes controles sejam considerados: a) Convm que as instalaes crticas sejam localizadas de forma a evitar o acesso pblico. b) Convm que os prdios sejam sem obstrues em seu acesso, com indicaes mnimas do seu propsito, sem sinais bvios, tanto fora quanto dentro do prdio, da presena de atividades de processamento de informao. c) Convm que os servios de suporte e equipamentos, como por exemplo fotocopiadoras e mquinas de fax sejam instalados de forma apropriada dentro de reas de segurana para evitar acesso que possa comprometer a informao. d) Convm que as portas e janelas sejam mantidas fechadas quando no utilizadas e que sejam instaladas protees externas, principalmente quando essas portas e janelas se localizarem em andar trreo.
64
e) Convm que os sistemas de deteco de intrusos sejam instalados por profissionais especializados e testados regularmente, de forma a cobrir todas as portas externas e janelas acessveis. Convm que as reas no ocupadas possuam um sistema de alarme que permanea sempre ativado. Convm que esses cuidados tambm cubram outras reas, como por exemplo a sala de computadores ou salas de comunicao. f) Convm que as instalaes de processamento da informao gerenciadas pela organizao fiquem fisicamente separadas daquelas gerenciadas por prestadores de servio. g) Convm que os arquivos e as listas de telefones internos que identificam os locais de processamento das informaes sensveis no sejam de acesso pblico. h) Convm que os materiais combustveis ou perigosos sejam guardados de forma segura a uma distncia apropriada de uma rea de segurana. Convm que os suprimentos volumosos, como material de escritrio, no sejam guardados em uma rea de segurana, a menos que requeridos. i) Convm que os equipamentos de contingncia e meios magnticos de reserva (backup) sejam guardados a uma distncia segura da instalao principal para evitar que desastres neste local os afetem.
Trabalhando em reas de segurana

Manuais e controles adicionais podem ser necessrios para melhorar as condies de uma rea de segurana. Isso inclui controles tanto para o pessoal da
65
organizao como para prestadores de servios que trabalham em reas de segurana, assim como para atividades terceirizadas que possam ocorrer nessa rea. Recomendase que os seguintes itens sejam considerados. a) Convm que os funcionrios s tenham conhecimento da existncia de rea de segurana ou de atividades dentro dela quando necessrio. b) Convm que se evite trabalho sem superviso nas reas de segurana, tanto por razes de segurana como para prevenir oportunidades para atividades maliciosas. c) Convm que as reas de segurana desocupadas sejam mantidas fisicamente fechadas e verificadas periodicamente. d) Convm que pessoal de servio de suporte terceirizado tenha acesso restrito s reas de segurana ou s instalaes de processamento de informaes sensveis somente quando suas atividades o exigirem. Convm que este acesso seja autorizado e monitorado. Barreiras e permetros adicionais para controlar o acesso fsico podem ser necessrios em reas com diferentes requisitos de segurana dentro de um mesmo permetro de segurana. e) Convm que no se permitam o uso de equipamentos fotogrficos, de vdeo, de udio ou de outro equipamento de gravao, a menos que seja autorizado.
66
Isolamento das reas de expedio e cargas

Convm que as reas de expedio e de carregamento sejam controladas e se possvel isoladas das instalaes de processamento da informao, com o objetivo de evitar acessos no autorizados. Convm que os requisitos de segurana sejam determinados a partir de uma avaliao de risco. Recomenda-se que os seguintes itens sejam considerados: a) Convm que o acesso rea de movimentao e suporte (carga e descarga) externa ao prdio seja restrito somente ao pessoal identificado e autorizado. b) Convm que esta rea seja projetada de forma que os suprimentos possam ser descarregados sem que o pessoal responsvel pela entrega tenha acesso s outras partes do prdio. c) Convm que a(s) porta(s) externa(s) destas reas seja(m) mantida(s) protegida(s) quando as portas internas estiverem abertas. d) Convm que o material de entrada seja inspecionado contra potenciais perigos [ver 7.2.1 d)], antes de ser transportado dessa rea para a rea na qual ser utilizado. e) Convm que o material recebido seja registrado, se apropriado (ver 5.1), quando da sua recepo.
67
2.5.2 Segurana dos equipamentos
Objetivo: Prevenir perda, dano ou comprometimento dos ativos e a interrupo das atividades do negcio. Convm que os equipamentos sejam fisicamente protegidos contra ameaas sua segurana e perigos ambientais. A proteo dos equipamentos (incluindo aqueles utilizados fora das instalaes fsicas da organizao) necessria para reduzir o risco de acessos no autorizados a dados e para proteo contra perda ou dano. Convm que esta proteo considere os equipamentos instalados e os em alienao. Controles especiais podem ser exigidos para proteo contra perigos ou acessos no autorizados e para salvaguardar as instalaes de suporte, como o fornecimento de energia eltrica e cabeamento.
Instalao e proteo dos equipamentos

Convm que os equipamentos sejam instalados ou protegidos para reduzir o risco de ameaas ambientais, perigos e oportunidades de acesso no autorizado. Recomenda-se que os seguintes itens sejam considerados: a) Convm que os equipamentos sejam instalados de forma a reduzir acessos desnecessrios rea de trabalho. b) Convm que as instalaes de processamento e armazenamento de informao que tratam de informaes sensveis sejam posicionadas de maneira a reduzir riscos de espionagem de informaes durante o seu uso.
68
c) Convm que os itens que necessitem de proteo especial sejam isolados para reduzir o nvel geral de proteo exigida. d) Convm que sejam adotados controles, de forma a minimizar ameaas potenciais, incluindo: Roubo; Fogo; Explosivos; Fumaa; gua (ou falha de abastecimento); Poeira; Vibrao; Efeitos qumicos; Interferncia no fornecimento eltrico; Radiao eletromagntica.
e) Convm que uma organizao considere polticas especficas para alimentao, bebida e fumo nas proximidades das instalaes de processamento da informao.
69
f) Convm que aspectos ambientais sejam monitorados para evitar condies que possam afetar de maneira adversa operao das instalaes de processamento da informao. g) Convm que uso de mtodos de proteo especial, como capas para teclados, seja considerado para equipamentos em ambiente industrial. h) Convm que o impacto de um desastre que possa ocorrer nas proximidades da instalao, como por exemplo um incndio em um prdio vizinho, vazamentos de gua no telhado ou em andares abaixo do nvel do cho ou exploses na rua tambm seja considerado.
Fornecimento de energia
Convm que os equipamentos sejam protegidos contra falhas de energia e outras anomalias na alimentao eltrica. Convm que um fornecimento de energia apropriado ocorra em conformidade com as especificaes do fabricante do equipamento. Algumas opes para alcanar a continuidade do fornecimento eltrico incluem: a) Alimentao mltipla para evitar um nico ponto de falha no fornecimento eltrico; b) No-break (Uninterruptable Power Supply - UPS); c) Gerador de reserva. recomendado o uso de no-break em equipamentos que suportem atividades crticas para permitir o encerramento ordenado ou a continuidade do processamento. Convm que os planos de contingncia contenham aes a serem tomadas em casos de falha no no-break. Convm
70
que esse tipo de equipamento seja periodicamente verificado, de forma a garantir que ele esteja com a capacidade adequada, e testado de acordo com as recomendaes do fabricante. Convm que um gerador de reserva seja considerado se o processamento requer continuidade, em caso de uma falha eltrica prolongada. Se instalados, convm que os geradores sejam testados regularmente de acordo com as instrues do fabricante. Convm que um fornecimento adequado de leo esteja disponvel para assegurar que o gerador possa ser utilizado por um perodo prolongado. Adicionalmente, convm que se tenham interruptores eltricos de emergncia localizados prximo s sadas de emergncia das salas de equipamentos para facilitar o desligamento em caso de emergncia. Convm que iluminao de emergncia esteja disponvel em casos de falha da fonte eltrica primria. Convm que proteo contra relmpagos seja usada em todos os prdios e que filtros de proteo contra raios sejam instalados para todas as linhas de comunicao externas.
Segurana do cabeamento
Convm que o cabeamento eltrico e de telecomunicao que transmite dados ou suporta os servios de informao seja protegido contra interceptao ou dano. Recomenda-se que os seguintes controles sejam considerados: a) Convm que as linhas eltricas e de telecomunicaes das instalaes de processamento da informao sejam subterrneas, onde possvel, ou sejam submetidas proteo alternativa adequada.
71
b) Convm que o cabeamento da rede seja protegido contra interceptaes no autorizadas ou danos, por exemplo pelo uso de condutes ou evitando a sua instalao atravs de reas pblicas. c) Convm que os cabos eltricos fiquem separados dos cabos de comunicao para prevenir interferncias. d) Convm que para sistemas crticos ou sensveis sejam utilizados alguns controles adicionais, tais como: 1) Instalao de condutes blindados e salas ou gabinetes trancados nos pontos de inspeo e terminais; 2) Uso de rotas e meios de transmisso alternativos; 3) Uso de cabeamento de fibra ptica; 4) Varredura inicial para identificar dispositivos no autorizados conectados aos cabos.
Manuteno dos equipamentos

Convm que a manuteno correta dos equipamentos garanta a continuidade da disponibilidade e integridade dos mesmos. Recomenda-se que os seguintes itens sejam considerados: a) Convm que os equipamentos tenham manuteno de acordo com intervalos e especificaes do fabricante. b) Convm que apenas pessoal autorizado execute reparos e servios nos equipamentos.
72
c) Convm que se mantenham registros de todas as falhas suspeitas ou ocorridas e de toda manuteno corretiva e preventiva. d) Convm que controles apropriados sejam utilizados quando do envio de equipamentos para manuteno fora da instalao fsica (ver tambm 7.2.6, considerando dados excludos, apagados e sobrepostos). Convm que todos os requisitos impostos pelas aplices de seguro sejam atendidos.
Segurana de equipamentos fora das instalaes

Independentemente de quem seja o proprietrio, convm que o uso de qualquer equipamento para o processamento da informao fora das instalaes da organizao seja autorizado pela direo. Convm que a segurana fornecida seja equivalente quela oferecida aos equipamentos utilizados dentro da organizao para o mesmo propsito, levando-se em conta os riscos de se trabalhar fora das instalaes da organizao. Os equipamentos de processamento de informao incluem todas as formas de computadores pessoais, agendas eletrnicas, telefones mveis, papis ou outros, que so levados para se trabalhar em casa ou para fora do ambiente normal de trabalho. Recomenda-se que os seguintes itens sejam considerados: a) Convm que equipamento e mdias levados para fora das instalaes no sejam deixados desprotegidos em reas pblicas. Convm que computadores portteis sejam carregados como bagagem de mo e disfarados sempre que possvel nas viagens.
73
b) Convm que as instrues dos fabricantes para proteo dos equipamentos sejam sempre observadas, como por exemplo proteo contra exposio a campos magnticos intensos. c) Convm que os controles para trabalho em casa sejam determinados atravs da avaliao de risco e os controles apropriados aplicados conforme a necessidade, como por exemplo gabinetes de arquivo fechados, poltica de mesa limpa e controles de acesso aos computadores. d) Convm que se use uma cobertura adequada de seguro para proteger os equipamentos existentes fora das instalaes da organizao. Os riscos de segurana, como por exemplo de dano, roubo e espionagem, podem variar consideravelmente conforme a localizao e convm que sejam levados em conta na determinao dos controles mais apropriados. Maiores informaes sobre a proteo de equipamentos mveis podem ser encontradas em 9.8.1.
Reutilizao e alienao segura de equipamentos

A informao pode ser exposta pelo descuido na alienao ou reutilizao de equipamentos (ver tambm 8.6.4). Convm que dispositivos de armazenamento que contenham informao sensvel sejam destrudos fisicamente ou sobrescritos de forma segura ao invs da utilizao de funes-padro para a excluso. Convm que todos os itens de equipamentos que possuem meios de armazenamento, como por exemplo discos rgidos, sejam checados para assegurar que toda informao sensvel e software licenciado foram removidos ou sobrepostos antes da alienao do equipamento. Dispositivos de armazenamento danificados contendo
74
informaes sensveis podem necessitar de uma avaliao de riscos para se determinar se tais itens deveriam ser destrudos, reparados ou descartados.
2.5.3 Controles gerais
Objetivo: Evitar exposio ou roubo de informao e de recursos de processamento da informao. Convm que informaes e recursos de processamento da informao sejam protegidos de divulgao, modificao ou roubo por pessoas no autorizadas e que sejam adotados controles de forma a minimizar sua perda ou dano. Os procedimentos para manuseio e armazenamento esto considerados em 8.6.3.
Poltica de mesa limpa e tela limpa

A organizao deve considerar a adoo de uma poltica de mesa limpa para papis e mdias removveis e uma poltica de tela limpa para os recursos de processamento da informao, de forma a reduzir riscos de acesso no autorizado, perda e danos informao durante e fora do horrio normal de trabalho. A poltica deve levar em considerao as classificaes da segurana das informaes, os riscos correspondentes e os aspectos culturais da organizao. As informaes deixadas em mesas de trabalho tambm so alvos provveis de danos ou destruio em um desastre como incndio, inundaes ou exploses. Recomenda-se que os seguintes controles sejam considerados:
75
a) Onde for apropriado, convm que papis e mdias de computador sejam guardados, quando no estiverem sendo utilizados, em gavetas adequadas, com fechaduras e/ou outras formas seguras de mobilirio, especialmente fora do horrio normal de trabalho. b) Informaes sensveis ou crticas ao negcio, quando no forem requeridas, devem ser guardadas em local distante, de forma segura e fechada (de preferncia em um cofre ou arquivo resistente a fogo), especialmente quando o escritrio estiver vazio. c) Computadores pessoais, terminais de computador e impressoras no devem ser deixados ligados quando no assistidos e devem ser protegidos por senhas, chaves ou outros controles quando no estiverem em uso. d) Pontos de recepo e envio de correspondncias e mquinas de fax e telex no assistidas devem ser protegidos. e) Copiadoras devem ser travadas (ou de alguma forma protegidas contra o uso no autorizado) fora do horrio normal de trabalho. f) Informaes sensveis e classificadas, quando impressas, devem ser imediatamente retiradas da impressora.
Remoo de propriedade
Equipamentos, informaes ou software no devem ser retirados da organizao sem autorizao. Quando necessrio e apropriado, os equipamentos devem ser desconectados e conectados novamente no seu retorno. Inspees pontuais devem ser
76
realizadas de forma a detectar a remoo no autorizada de propriedade. As pessoas devem estar cientes de que inspees pontuais sero realizadas seguindo um plano de auditoria.
2.6
Conformidade
Os objetivos desta sesso so evitar, por parte da organizao, as seguintes violaes: s leis civis ou criminais; s obrigaes legais ou contratuais de propriedade intelectual; de segurana a sistemas e informaes de terceiros. Tambm visa a maximizar a efetividade e minimizar a interferncia em sistema de auditagem.
2.6.1 Conformidade com requisitos legais
O projeto, a operao, o uso e a gesto de sistemas de informao podem estar sujeitos a requisitos de segurana contratuais, regulamentares ou estatutrios. Por isso, necessrio identificar os aspectos legais para evitar a violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana. Consultoria em requisitos legais pode ser procurada em organizaes de consultoria jurdica ou com profissionais liberais adequadamente qualificados. importante lembrar que os requisitos legais variam de pas para pas e se aplicam tambm para a informao criada em um pas e transmitida para outro.
77
Identificao da legislao vigente

Estatutos, regulamentaes ou obrigaes contratuais relevantes devem ser explicitamente definidos e documentados para cada sistema de informao, bem como os controles e as responsabilidades especficas para atender a esses requisitos.
Direitos de propriedade intelectual

Procedimentos apropriados devem ser implantados para garantir a conformidade com as restries legais quanto propriedade intelectual. Legislao, regulamentao e clusulas contratuais podem estabelecer restries para a cpia de material, evitando a transgresso aos direitos autorais. Produtos de software proprietrios so normalmente fornecidos de acordo com um contrato de licenciamento que restringe o seu uso, cpia e instalao. Para se evitar a transgresso dos contratos de licenciamento, uma poltica de conformidade de direito autoral deve ser implementada para definir o uso legal de produtos de software ou de informao.
Proteo de registros organizacionais

A proteo de registros importantes de uma organizao muito importante para se evitar perdas, destruio e falsificao dos mesmos. Alm disso, alguns registros precisam ser retidos de forma segura para atender a requisitos estatutrios ou regulamentaes, assim como para apoiar as atividades essenciais da organizao. Para isso, sistemas de armazenagem confiveis de registros organizacionais devem ser previstos.
78
Esses sistemas de armazenagem devem ser escolhidos de modo que o dado solicitado possa ser recuperado de forma legal e aceitvel. E, por ltimo, o sistema de armazenamento e manuseio deve assegurar a clara identificao dos registros e seus respectivos perodos de reteno estatutrios e regulamentares. Deve permitir, ainda, a destruio apropriada dos registros aps esses perodos, caso no sejam mais necessrios organizao.
Proteo de dados e privacidade da informao pessoal

Alguns pases possuem leis que estabelecem controles no processamento e na transmisso de dados pessoais. Alguns desses controles dizem respeito responsabilidade na armazenagem e divulgao desses dados. Estar em conformidade legal com essas leis requer estrutura e controles apropriados. Normalmente, isso alcanado atravs da indicao de um responsvel pela proteo de dados, o qual dever oferecer orientaes para gerentes, usurios e prestadores de servio a respeito de como tratar legalmente este tipo de informao. Porm, de responsabilidade do proprietrio do dado notificar ao responsvel sobre qualquer proposta de armazenamento de informaes pessoais em arquivo estruturado e garantir a capacitao nos princpios de proteo de dados definidos na legislao vigente.
79
Preveno contra uso imprprio das instalaes de processamento da informao

Qualquer uso das instalaes de processamento de dados para propsitos outros que no os do negcio, sem a devida autorizao, ser considerado como imprprio. E sua ocorrncia dever ser passvel de punio. Atualmente, o uso imprprio de computadores est se tornando crime previsto em lei. Por isso, funcionrios e terceiros que utilizam as instalaes da organizao devem ser alertados sobre tal procedimento e devem ter conhecimento do escopo exato de suas permisses e do fato de que nenhum acesso permitido sem a devida autorizao. No momento da conexo inicial, deve ser informado ao usurio, na tela do computador, que o sistema ao qual ele est acessando privado e que no so permitidos acessos no autorizados. Assim, ao se conectar ele estar de acordo com isto.
Regulamentao de controles criptogrficos

Alguns pases tm estabelecido acordos, leis, regulamentaes e outros instrumentos para controlar o acesso ou uso de controles criptogrficos. Consultoria jurdica deve ser obtida para garantir a conformidade desse processo com a legislao nacional vigente e tambm para opinar sobre a transferncia de informaes cifradas ou controles criptogrficos para outros pases.
80
Coleta de evidncias
Um processo jurdico contra pessoa ou organizao deve estar embasado em evidncias adequadas. Quando ele for de ordem interna, as evidncias necessrias devero estar definidas nos procedimentos internos. Quando for de ordem externa, as evidncias necessrias devem estar de acordo com as regras estabelecidas pela lei ou tribunal de justia especficos da localidade onde o caso ser julgado. Para se obter a admissibilidade da evidncia, as organizaes devem garantir que seus sistemas de informao estejam em conformidade com qualquer norma ou cdigo de prtica publicados. Por outro lado, para o proprietrio obter qualidade e inteireza da evidncia, um bom registro (log) de evidncia necessrio. Quando o incidente detectado, pode no ser bvio que resultar num possvel processo jurdico. Pode ser, tambm, que a evidncia necessria seja destruda acidentalmente antes que seja percebida a seriedade do incidente. conveniente acionar um advogado ou a polcia, to logo seja constatada a necessidade de processos jurdicos, bem como obter consultoria especializada sobre as evidncias necessrias.
2.7
Anlise da poltica de segurana e da conformidade tcnica
A segurana dos sistemas de informao deve estar em constante reviso para garantir a conformidade dos sistemas com as polticas e normas de segurana da organizao.
81
Conformidade com a poltica de segurana

Os gerentes devem garantir que todos os procedimentos de segurana estejam sendo executados dentro de sua rea de responsabilidade. Os proprietrios dos sistemas de informao devem apoiar as anlises crticas peridicas de conformidade dos seus sistemas com as normas, polticas e requisitos de segurana apropriados.
Verificao da conformidade tcnica

Sistemas de informao devem ter periodicamente verificados na sua conformidade com as normas de segurana implantadas. A verificao de conformidade tcnica envolve a anlise dos sistemas operacionais para garantir que controles de equipamentos e software foram corretamente implementados. A verificao de conformidade deve ser sempre executada ou acompanhada por pessoas competentes e especializadas.
Consideraes quanto auditoria de sistemas

Devem existir controles para proteo dos sistemas operacionais e das ferramentas de auditoria quando da realizao de auditorias de sistema, no intuito de maximizar a eficcia e minimizar a interferncia do processo de auditoria no sistema. necessrio, tambm, proteger a integridade e prevenir o uso imprprio das ferramentas de auditoria.
82
Requisitos e atividades de auditoria que exijam a verificao nos sistemas operacionais devem ser cuidadosamente planejados e acordados para minimizar os riscos de interrupo dos ambientes crticos. Acessos s ferramentas de auditoria de sistema devem ser protegidos contra uso imprprio ou comprometimento. Estas ferramentas devem estar isoladas dos ambientes de desenvolvimento e de produo e no devem ser manipuladas em reas de acesso de usurios, a menos que forneam um nvel apropriado de proteo.
2.8
Mecanismos e dispositivos de segurana
2.8.1 Infra-Estrutura do Data Center
Sala-Cofre
Segundo Brasiliano (2004), a sala-cofre uma soluo mundialmente adotada pelos Data Centers. Ela composta por uma clula hermtica e de mltiplas camadas de proteo para distribuio e absoro de impacto, presso e calor..
A concepo da sala-cofre, no que diz respeito proteo composta por uma cmara externa refratria (a prova de temperaturas at 1000 C) e uma clula interna hermtica (estanque a gases e lquidos) que tem capacidade de absoro de calor. A
83
envasadura entre as clulas externas e internas permite distribuio de presses e calor para otimizar a capacidade de resistir a todos tipos de sinistros. A sala-cofre deve ser uma soluo sob medida, sendo a cmara externa construda na rea em alvenaria e concreto, com aproveitamento de lajes e paredes existentes ou pode ser composta por elementos pr-fabricados. A clula interna prfabricada em painis com 3 cm de espessura em chapa de ao. Os painis da lateral, teto e fundo so montados dentro, mas independente da cmara externa e unidos por pontos de solda MIG (material inerte gs). As juntas so flexveis para poder absorver deformaes sem perder o isolamento. O acesso sala-cofre protegido por uma porta refratria integrada cmara externa, abrindo para fora e uma porta estanque integrada a clula interna, abrindo para dentro. A sala-cofre deve possuir um sistema de piso elevado para atender as seguintes necessidades: Funcionar como "plenum de insuflamento" de ar condicionado; Permitir a passagem de cabos de fora para os computadores; Permitir a passagem de cabos de lgica entre as vrias unidades do computador; Permitir a distribuio das vrias linhas da rede telefonia, do sistema de segurana e de deteco e combate ao fogo; Permitir fcil remanejamento de unidades e oferecer maior flexibilidade e alteraes de "layout" e expanses futuras;
84
O piso deve possuir as seguintes caractersticas: estrutura metlica de apoio, autoportante, disposta em forma reticulada, sem perfis metlicos aparentes, apoiada em suportes metlicos verticais ajustveis a uma altura entre 0,40 m a 0,60 m;
Possuir placas removveis e intercambiveis, com a mesma modularidade da estrutura metlica, de fcil remoo e recolocao, com revestimento superficial especfico para piso que permita a descarga de eletricidade esttica;
Suportar os esforos das cargas distribudas e concentradas, previstos nos locais para onde foram projetados e instalados;
Todo o sistema de piso elevado dever ser aterrado, podendo eventualmente ser utilizado como malha de referncia;
Devero ser evitados materiais combustveis e PVC (polmero termoplstico);
As placas no devero ter nenhuma parte metlica exposta; As estruturas dos pisos elevados devem ser suportadas por materiais incombustveis de resistncia adequada. Sua estrutura no deve ter peas de alumnio ou outro material com ponto de fuso abaixo de 100C. As placas devem ser no inflamveis e resistentes ao fogo por no mnimo 30 minutos;
85
O piso deve ser projetado de forma a permitir que sua integridade seja mantida e garantir um isolamento trmico conveniente, no caso de um incndio iniciar-se dentro do vo criados entre tal piso e a laje;
Todas as aberturas devem ser fechadas tanto quanto possvel para impedir que fiapos e outras fontes de ignio, ao longo do tempo, gradualmente acumulem-se no envasamento.
A passagem de ar (necessrio em caso de climatizao por sistema externo) exige damper especial para blindagem da abertura. As portas e os dampers so providos de sistemas de fechamento autnomos somente com a energia das suas prprias molas. Energia eltrica s aplicada para mant-las abertas. A sala-cofre uma proteo altamente confivel, pois opera normalmente fechada ou fecha de imediato ao menor sinal de perigo. No h custo para acion-la e no oferece risco para funcionrios. Portanto, no necessita de bloqueio como em alguns sistemas de combate, nem retardamento para verificao ou qualquer outro impedimento. As pessoas podem sair da sala mesmo se for trancada a chave. A iluminao interna provida de fontes eletrnicas de alta freqncia e com total segurana. Para controle do risco de ignio dentro da clula (mesmo sendo um risco remoto) deve haver detector de produtos de combusto ("fumaa") ligado ao sistema do prdio. Para combate automtico dentro da sala pode ser instalado um sistema de descarga de gs supressor de combusto. A sala-cofre hoje usada nas reas onde os equipamentos possam trabalhar sem interveno humana, tais como:
86
CPU (Unidade Central de Processamento); Discos, fitoteca robotizada; Servidores de rede e equipamentos de comunicao;
A sala-cofre deve possuir, em caso de emergncia, um sistema automtico que deve entrar em "estado de alarme" desencadeando as seguintes funes: tocar o alarme dentro da sala, fechar a porta interna e, aps pequeno retardo, fechar a porta externa. Aps um pequeno perodo desligar a iluminao.
2.8.2 Acesso ao CPD
Controle de Acesso
Segundo Haical (2004):
O controle de acesso do tipo fsico toda e qualquer aplicao de equipamentos ou procedimentos com o objetivo de proteger ambientes, equipamentos ou informaes cujo acesso deve ser restrito. Esse tipo de controle envolve o uso de cancelas, chaves, trancas, guardas, ces, crachs, grades, muros, alarmes, vdeo, smart cards (cartes com capacidade de armazenar e processar dados), biometria (ramo da cincia que estuda a mensurao dos seres vivos). e outros meios que podem ser usados nos pontos de acesso onde o usurio tenta obter o acesso, alm da aplicao de normas e procedimentos utilizados pela empresa para esse fim.
Os sistemas de controle de acesso fsico possibilitam a integrao de outras funcionalidades, como integrao com leitores biomtricos, controle de
estacionamento, controle de elevadores, integrao com alarmes de incndio, controle de ronda, emisso de crachs para visitantes e integrao com CFTV (circuito fechado
87
de televiso), ou tambm o Acesso Universal, isto , a integrao do controle de acesso fsico com controle de acesso lgico, possibilitando a criao de implementaes especiais, como permitir o acesso estao de trabalho apenas a usurios que se autenticaram no ponto de acesso e a utilizao da mesma credencial biomtrica (referente biometria) para todos os dispositivos. O controle de acesso fsico utilizando mtodos manuais ou automatizados deve ter como regra bsica a capacidade de diferenciar o usurio autorizado e o no autorizado mediante sua identificao, assim atentando s seguintes premissas: O que a pessoa : sua identificao ou caractersticas biomtricas; O que a pessoa possui: uso de cartes ou chaves; O que a pessoa sabe: uso de senha ou cdigos.
possvel notar o uso de duas destas premissas em um exemplo bastante comum como o caixa de banco automtico. O que o usurio possui, como o carto magntico e o que ele sabe, como a senha de acesso. Sistemas que utilizam apenas uma das premissas esto mais suscetveis falhas provenientes por perda, uso indevido e falsificaes, sendo mais confivel o uso de mais de uma premissa. Um sistema de controle de acesso tambm pode conter as seguintes caractersticas: Proteo contra ataques forados: o esquema de controle deve ter a eficincia para evitar invases mediante o corte de energia ou fora bruta. Capacidade de expanso: o sistema deve ter capacidade de crescimento ou mudanas. Tais mudanas so provenientes do aumento de usurios autorizados, alteraes nos nveis de privilgios de acesso. Tambm deve
88
conter modems (modulador/demodulador) ou redes virtuais privadas possibilitando o controle de acesso em pontos remotos. Habilidade de registrar acessos: deve ser capaz de registrar os acessos de modo que permita consultas posteriores, monitorao e auditorias com aplicao de filtros de pesquisa. Assim, o sistema deve gravar pelo menos a data, hora, local e a identificao da pessoa. E para os acessos invlidos devem ser gravadas as datas, hora, local, identificao e a razo do bloqueio. Bloqueio de mltiplos acessos: o sistema deve bloquear a entrada de uma determinada pessoa at que sua sada seja efetuada, assim evitando o uso da mesma identificao por mais de uma pessoa. Para evitar o acesso mltiplo, o sistema tambm deve permitir apenas a entrada de uma pessoa a cada acesso vlido. Podem ser usadas, por exemplo, catracas ou portas giratrias que so utilizadas em bancos brasileiros permitindo a passagem de uma pessoa por vez. recomendada a utilizao de uma monitorao intensa para dispositivos de controle de baixa altura como roletas e catracas, pois possvel ser pulado por pessoas. Assim se a inteno for utilizar um ponto de acesso com pouca superviso, devem ser usados dispositivos de altura plena.
Tipos de Controle de Acesso Fsico

Grades e muros: Inibem a presena de curiosos e pessoas no autorizadas estabelecendo um limite. Grades devem ter alarmes ou estar sob vigilncia de guardas, cachorros ou monitores de televiso.
89
Cancelas: Podem ser simples para locais abertos ou articuladas para locais que obstruam o seu levantamento. As cancelas podem ser controladas manualmente, por meio de botes, cartes magnticos, de cdigo de barras ou cartes de proximidade e por algum dispositivo biomtrico (referente biometria) como o de verificao de digital, o mais comum. Guardas: podem ser posicionados em pontos estratgicos para melhor controlar o acesso e permiti-lo apenas a pessoas autorizadas. Sua atuao bastante eficaz na inspeo de pacotes e outros objetos de mo na entrada ou sada. Autenticao por senha: geralmente feita por meio da digitao da senha em um teclado junto ao ponto de acesso. Ao ser digitada corretamente abre-se a porta ou outro tipo de acesso. A senha tambm pode ser utilizada em um carto ou crach de identificao, sendo recomendada a ausncia de identificao visual, informaes ou perfuraes no carto ou crach referentes aos privilgios de acesso, evitando o uso indevido em caso de perda ou furto. Portas duplas: geralmente usadas para forar pessoas que esto tentando ter o acesso a identificarem-se para um guarda, que pode se posicionar na entrada da segunda porta ou por um sistema de televiso e udio. Pode ser aplicada em situaes que uma pessoa persegue outra para tentar obter acesso a reas restritas. Torniquetes: um equipamento que permite o fluxo controlado de pessoas nos dois sentidos de giro (uni ou bidirecional). Aceita a condio monitorada de entrada e / ou sada com restries de autorizao da passagem ou ainda por horrio por meio do coletor de dados. Podem ser integrados com vrios validadores ou equipamentos de controle (por carto magntico, cdigo de barras, proximidade, smart cards, dispositivos
90
biomtricos etc.) e ainda com dispositivos de comando distncia como controle remoto ou similares. Controle de acesso biomtrico: Biometria mais bem definida como sendo a mensurao fisiolgica e/ou caracterstica de comportamento que pode ser utilizada para verificao de identidade de um indivduo. A mensurao inclui impresses digitais, voz, retina, ris, reconhecimento de face, imagem trmica, anlise de assinatura, palma da mo e outras tcnicas. A biometria tem vantagens no seu uso sobre os outros mtodos de autenticao. Cartes magnticos, crachs, smart cards, chaves podem ser perdidos, duplicados, roubados e mesmo esquecidos em casa. Senhas podem ser observadas, compartilhadas ou esquecidas, o que no acontece com alguns sistemas da biometria. O usurio identificado por caractersticas nicas, pessoais e intransferveis, ou seja, pelo que ele e no pelo que possui (cartes ou crachs) ou sabe (senhas). Crachs: funcionrios e visitantes devem ser obrigados a us-los para obterem o acesso. Para maior segurana recomendado que os crachs tenham poucas informaes como assinaturas e detalhes impressos sobre os privilgios de acesso do funcionrio. A identificao pode ser feita por cdigos ou cores e o nmero de srie dos crachs deve ser nico. Tipo de Crachs: funcionrio, prestador de servio, visitante, provisrio, scio (para clubes), aluno (para academias e escolas), especial (o qual pode ser personalizado, por exemplo, estagirio, temporrio etc.). Portarias: as portarias devem fazer o registro e a baixa dos visitantes, agendamento de visitantes ou grupos de visitantes, distribuio dos crachs provisrios e o registro do movimento de veculos. Tambm deve ser feita a
91
verificao se o visitado est presente na empresa no momento da visita e at se o visitante tem alguma restrio ou proibio de acesso. Para aumentar o nvel de segurana da empresa deve ser feita a verificao se a visita foi pr-agendada, assim facilitando o processo de registro do visitante. Devem ser registrados os seguintes dados do visitante: nome, empresa, documento, visitado e motivo da visita. A confeco de um crach ou etiqueta para o visitante pode ser feita caso seja possvel capturar a imagem e imprimir a mesma. No caso de um crach provisrio comum, recolh-lo na sada possibilitando a reutilizao por outro visitante. Caso a baixa do crach no tenha sido efetuada, deve-se verificar se o visitante ainda est no local e se o seu nmero de crach confere com o registro, assim protegendo contra extravios dos mesmos.
92
ESTUDO DE CASO
3.1
Poltica de segurana
3.1.1 Situao Atual em Relao Poltica de Segurana
No existe uma Poltica de Segurana Corporativa formal abordando toda a norma ISO/IEC 17799 com divulgao, conscientizao e treinamento definido e apoiado pela alta direo da ELECTRA. Existe sim uma Poltica de Segurana desatualizada (criada h cerca de 20 anos) e que por isso no plenamente seguida, pois no retrata a situao atual. A anlise dos riscos da ELECTRA ponto de partida para a definio de uma boa Poltica de Segurana Corporativa.
3.1.1.1 Comit Gestor
No existe um Comit Gestor Corporativo especfico de segurana formalizado para implementao e manuteno da Poltica de Segurana da Informao. Apenas existe uma equipe no departamento de segurana estudando a Norma.
93
A Norma ABNT ISO/IEC 17799 trata desse assunto em seu item 3.1 Poltica de Segurana da seguinte forma: Convm que a direo estabelea uma Poltica clara e demonstre apoio e comprometimento com a segurana da informao atravs da emisso e manuteno de uma Poltica de Segurana da Informao para toda a ELECTRA.
3.1.2 Recomendaes quanto Poltica de Segurana
Criar e aprovar, em carter de emergncia, a Poltica de Segurana Corporativa da Informao de acordo com as normas, legislaes vigentes e cultura da ELECTRA. Criar um Departamento de Segurana da Informao com um Gerente (Security Officer); Criar um Comit Gestor Corporativo para implementao, manuteno e reviso de Poltica de Segurana da Informao na ELECTRA; Criar fruns apropriados, com liderana da alta direo, para gerir, estabelecer e aprovar uma Poltica de Segurana da Informao, sendo publicada e divulgada para todos os funcionrios em toda a ELECTRA, de forma relevante, acessvel e compreensvel ao pblico-alvo. A poltica de segurana deve afirmar o compromisso e o apoio da alta administrao da ELECTRA e descrever a abordagem da organizao quanto ao gerenciamento da segurana da informao;
94
necessrio tambm se obter uma boa compreenso dos requisitos de segurana, da avaliao dos riscos e da administrao dos riscos; Recomenda-se realizar treinamentos de conscientizao e educao especfica sobre a Poltica de Segurana Corporativa; Recomenda-se implantar um amplo e equilibrado sistema de aferio baseado em revises peridicas, utilizado para avaliar o desempenho na administrao da segurana da informao e sugestes de feedback para aperfeioamentos; Recomenda-se assegurar que se realizem revises em resposta a quaisquer mudanas que afetem as bases da avaliao original dos riscos, como por exemplo: Incidentes de segurana significativos; Mudanas da infra-estrutura organizacional ou tcnica; Novas vulnerabilidades.
As responsabilidades pelo cumprimento dos processos de segurana e suas implicaes devem estar claramente definidas e serem revistas sempre; Convm que todos os prestadores de servios e estagirios assinem um termo de compromisso com a nova Poltica de Segurana da Informao da ELECTRA.
95
3.1.3 Plano de Ao
Geral
Este plano possibilita a soluo dos itens do mdulo de Poltica de Segurana atravs de: Criao e aprovao, em carter de emergncia, da Poltica de Segurana Corporativa da Informao de acordo com as Normas, Legislaes e cultura da ELECTRA, com apoio irrestrito da alta direo. Nomeao de um Gerente de Segurana da Informao (Security Officer); Criao de um Comit Gestor para implementao, manuteno e reviso da Poltica de Segurana da Informao na ELECTRA; Elaborao, treinamento e manuteno constante da Poltica de Segurana.
Poltica de Segurana da informao (corresponde ao item 1 questionrio - APNDICE B)

Devem ser oferecidos orientao e suporte administrao para a segurana da informao;
A administrao deve estabelecer uma diretriz de poltica bem definida e demonstrar o seu apoio e compromisso com a segurana da informao,
96
atravs da emisso e manuteno de uma poltica de segurana da informao em toda a organizao.
Documento de definio da poltica de segurana de informao (corresponde ao item 2 do questionrio - APNDICE B)

A poltica deve ser aprovada pela administrao, publicada e divulgada para todos os empregados, da maneira apropriada; Deve ser firmado compromisso da administrao, descrevendo a abordagem da organizao quanto ao gerenciamento da segurana da informao; Deve ser divulgado aos usurios em toda a organizao, de uma forma relevante, acessvel e compreensvel ao pblico-alvo; Devem ser includas orientaes como definio da segurana da informao, seus objetivos globais e escopo e da importncia da segurana como um mecanismo capacitador para o compartilhamento de informaes, declarao da inteno da administrao, apoiando as metas e os princpios da segurana da informao, breve explicao das polticas de segurana, dos princpios, normas e requisitos de conformidade que sejam de especial importncia para a organizao (cumprimento de exigncias legais e contratuais, requisitos de treinamento em segurana, preveno e deteco de vrus e outros softwares mal intencionados, gerenciamento da continuidade dos negcios, conseqncias de violaes da poltica de segurana);
97
Devem ser definidas responsabilidades gerais e especficas pelo gerenciamento da segurana da informao, incluindo a comunicao de incidentes de segurana;
Devem existir referncias documentao que poder apoiar a poltica, como por exemplo polticas e procedimentos de segurana mais detalhados para determinados sistemas de informaes ou normas de segurana s quais os usurios devem obedecer.
Poltica Reviso e Avaliao (corresponde ao item 3 do questionrio APNDICE B)

A poltica deve ter um gestor que ser responsvel por sua manuteno e reviso de acordo com um processo de reviso definido; Devem ser asseguradas revises em resposta a quaisquer mudanas que afetem as bases da avaliao original dos riscos; Devem existir revises peridicas, programadas, quanto eficcia da poltica, demonstrada pela natureza e pelo nmero e impacto dos incidentes de segurana registrados, custo dos controles e seu impacto sobre a eficincia da empresa e efeitos das mudanas tecnolgicas.
98
3.2
Segurana organizacional
OBJETIVO: Administrar a segurana da informao dentro da ELECTRA, estabelecendo referencial de gerenciamento para implementao da segurana da informao na ELECTRA. O primeiro passo para a Segurana Organizacional a criao de um Comit de Segurana com lderes gerenciais, a fim de: Aprovar a Poltica de Segurana da Informao; Atribuir funes de segurana; Coordenar a implementao da segurana em toda a ELECTRA. Convm que o comit gestor faa pesquisas (as quais devem ser disponibilizadas para toda a ELECTRA), principalmente para: Acompanhar as tendncias do mercado; Monitorar as normas e mtodos de avaliao; Fornecer pontos de contato apropriados para tratar de incidentes de segurana. O Comit deve possuir abordagem multidisciplinar em relao segurana da informao e envolver a cooperao e colaborao de
99
gerentes, usurios, administradores, criadores de aplicativos, auditores e pessoal de segurana, ou seja, toda a ELECTRA; Convm que a ELECTRA nomeie um gerente de segurana da informao para assumir responsabilidade global pelo desenvolvimento e implementao da segurana e pelo apoio identificao dos controles. A responsabilidade pela obteno dos recursos e pela implementao dos controles poder ficar a cargo dos gerentes individuais; Deve ser nomeado um gestor para cada ativo de informao, que passar a ser responsvel pela segurana no dia-a-dia.
3.2.1 Responsabilidades do Comit de Segurana
OBJETIVO: Promover a segurana dentro da ELECTRA, atravs de um compromisso apropriado e de recursos adequados. Pode ser parte de um rgo gerencial existente, desempenhando as seguintes funes: Reviso e aprovao da Poltica de Segurana da Informao e das responsabilidades globais; Monitorao de mudanas significativas na exposio dos ativos de informao a ameaas relevantes; Reviso e monitorao de incidentes de segurana;
100
Aprovao de iniciativas relevantes para aperfeioar a segurana da informao;
3.2.2 Coordenao do Comit de Segurana na ELECTRA
Esta coordenao pode ser formada por representantes gerenciais de partes relevantes da ELECTRA para coordenar a implementao dos controles de segurana da informao.
O Comit se encarregar de:

Estabelecer papis e responsabilidades especficos para a segurana da informao em toda a ELECTRA; Estabelecer metodologias e processos especficos de segurana da informao; Estabelecer e apoiar iniciativas de segurana da informao em mbito de toda a ELECTRA como, por exemplo, programa de conscientizao; Garantir que a segurana faa parte do processo de planejamento das informaes; Avaliar a adequao e coordenar a implementao de controles especficos de segurana da informao para novos sistemas ou servios; Analisar incidentes de segurana da informao;
101
Promover a visibilidade do apoio empresarial segurana da informao em toda a ELECTRA.
Atribuio de responsabilidades pela segurana da informao

O Security Officer (Gerente do Comit Gestor de Segurana da Informao) continua tendo a responsabilidade final pela segurana do ativo e deve ser capaz de verificar se uma competncia delegada foi cumprida corretamente. essencial que as reas de responsabilidade de cada gerente sejam claramente definidas. Em particular deve ocorrer o seguinte: Os diversos ativos e processos de segurana associados a cada sistema individual devem ser identificados e claramente definidos; Deve ser designado um gestor responsvel para cada ativo ou processo de segurana e os detalhes desta responsabilidade devem ser documentados; Os nveis de autorizao devem ser claramente definidos e
documentados.
Cooperao entre o Data Center da ELECTRA e outras Organizaes

Cabe ao Comit manter contato com autoridades policiais, rgos reguladores, provedores de servios de informao e operadoras de telecomunicaes para garantir a tomada rpida de providncias e a obteno de orientao em caso de um incidente de segurana;
102
Deve haver intercmbio de informaes de segurana de modo restrito para garantir que no sejam divulgadas informaes confidenciais da ELECTRA a pessoas no autorizadas.
3.2.3
Situao Atual em relao Segurana Organizacional
No existe um comit gestor especfico formalizado para implementao e manuteno da Segurana da Informao; Existe informalmente um grupo de segurana no departamento de rede; Atualmente, so realizados alguns contatos com especialistas externos em segurana e j se realizaram algumas palestras e reunies, mas ainda de forma incipiente; A monitorao de mudanas significativas na exposio dos ativos de informao tem sido observada atualmente como, por exemplo, ocorreu na centralizao dos almoxarifados regionais; Atualmente, existe uma grande preocupao por parte das gerncias com a segurana e existem iniciativas relevantes para aperfeioar a segurana da informao; Ainda no existe uma gerncia responsvel por todas as atividades relacionadas segurana (Comit Gestor de Segurana da Informao); No existe um contrato com organizao especializada em administrao dos riscos;
103
No existe atualmente um programa de conscientizao de segurana, com treinamentos especficos da Poltica de Segurana, palestras e peas; Atualmente, a segurana faz parte do processo do planejamento das informaes; Atualmente, existem polticas para vrios ativos como, por exemplo, utilizao de crachs e leitoras; Os gerentes responsveis por cada ativo ou processo de segurana, os detalhes das atribuies e responsabilidades s esto documentados via sistema, de forma passiva, e sem um plano de divulgao programado; Os nveis de autorizao esto claramente definidos e documentados tambm nesse mesmo sistema; Atualmente, no permitido o uso de equipamentos pessoais, mas esse fato ocorre esporadicamente;
Cooperao entre organizaes

Atualmente, no so mantidos contatos formais com autoridades policiais, rgos reguladores de energia, gua e operadoras de telecomunicaes para garantir a tomada rpida de providncias e a obteno de orientao em caso de incidente de segurana; No existe uma contingncia no caso do contrato com a organizao que oferece servios de telefonia; Na rea de rede existe uma poltica de contingncia de backup.
104
Acesso de Terceiros
deficiente o controle sobre os terceiros que deixam de prestar servios ELECTRA, continuando, em alguns casos, com seus acessos ativos; Existem terceiros que prestam servios, que no esto localizados no site, mas podem ter acesso fsico e lgico.
3.2.4 Recomendaes quanto Segurana Organizacional da ELECTRA
Criar um Comit Gestor Especfico de Segurana da Informao com atribuio de funes e atividades; Criar, aprovar e divulgar a Poltica de Segurana Corporativa; Envolver a cooperao e colaborao de diretores, gerentes, usurios, administradores, criadores de aplicativos, prestadores de servios, fornecedores e auditores, incluindo a assinatura de um Termo de Compromisso com Poltica de Segurana; Nomear um gestor para cada ativo; Estabelecer pontos de contatos para tratar incidentes de segurana; O comit deve possuir uma abordagem multidisciplinar em relao segurana; Monitorar as mudanas significativas na exposio dos ativos de informao;
105
O acesso fsico e lgico de terceiros s instalaes de processamento de informaes da ELECTRA deve ser baseado em contrato formal que contenha referncia a todos os requisitos de segurana para assegurar a conformidade com as polticas e normas de segurana da ELECTRA A ELECTRA deve rever todos os contratos de terceiros que tenham acesso fsico e lgico, para implementar os requisitos de segurana dispostos na Norma ISO/IEC 17799; Estabelecer adendos nos contratos atuais de terceiros, disposies para a designao de outros participantes qualificados e as condies para o seu acesso. A cada dia esse tipo de procedimento torna-se comum. conhecido como contrato guarda-chuva; O nvel de acesso para terceiros, que ficam localizados no site durante um determinado tempo, deve ser definido em contrato, como por exemplo: pessoal de manuteno e suporte de hardware e software; pessoal de limpeza, guardas de segurana e outros servios de suporte terceirizados, estagirios e demais nomeaes ocasionais em curto prazo e consultores. O ideal exigir que os mesmos passem por treinamento de conformidade com a Norma ISO / IEC 17799, que trata da Gesto de Segurana nas Organizaes; S se deve conceder o acesso s informaes e s instalaes de processamento de dados por terceiros, aps a implementao de controles apropriados e assinado um contrato que defina as condies do acesso;
106
Deve-se especificar no contrato que a ELECTRA receber indenizao por parte de seu fornecedor, caso ocorra algum incidente causado por algum funcionrio do prestador de servios; Deve-se especificar no contrato que a ELECTRA ter direito de monitorar e revogar as atividades de usurio, o direito de auditar as responsabilidades contratuais ou de fazer com que tal auditoria seja realizada por um terceiro; Quanto ao uso de equipamento pessoal no ambiente de trabalho, convm que seja avaliado, autorizado e monitorado.
3.2.5 Plano de Ao
Geral
Nomear um Gerente de Segurana, criar um Comit Gestor de Segurana, contratar uma empresa especializada para auxiliar na elaborao da Poltica de Segurana da Informao com Marketing de divulgao e treinamento de conscientizao adequado; Criar a Classificao das Informaes; Implantar um Plano de Contingncia e PCN - Plano de Continuidade de Negcios; Reviso de todos os Contratos com Terceiros;
107
Exigir em contrato que o terceiro desenvolva treinamento de conformidade com a Norma ISO/IEC 17799.
Estabelecer pontos de contatos para tratar incidentes de segurana; Estabelecer uma contingncia junto organizao prestadora de servios de telefonia.
Comit de Segurana (corresponde ao item 1 do questionrio APNDICE B)

Criar comit de administrao de segurana da informao com lderes gerenciais; Estabelecer contatos com especialistas externos em segurana; Conceder ao comit abordagem multidisciplinar em relao segurana; Estabelecer como atribuies do Comit a reviso e aprovao da poltica de segurana das informaes e das responsabilidades globais e reviso e monitorao incidentes de segurana; Monitorar mudanas significativas na exposio dos ativos de informao; Realizar iniciativas relevantes para aperfeioar a segurana da informao; Nomear um gerente responsvel por todas as atividades relacionadas com a segurana (Security Officer).
108
Coordenao e Responsabilidades da Segurana das Informaes (corresponde ao item 2 do questionrio - APNDICE B)

Estabelecer papis e responsabilidades especficas para a segurana das informaes em toda a organizao, com metodologias e processos especficos; Estabelecer e apoiar iniciativas de segurana das informaes em mbito de toda a organizao; Tornar a segurana parte integrante do processo do planejamento das informaes; Avaliar a adequao e coordenar a implementao de controles especficos de segurana das informaes para novos sistemas ou servios; Tratar os incidentes de segurana da informao de forma correta; Definir claramente as responsabilidades pela proteo de ativos individuais e pela execuo de processos especficos de segurana; A Poltica de Segurana deve fornecer diretrizes gerais sobre a atribuio de papis e responsabilidades de segurana dentro da organizao; Dever ser criado o cargo de Gerente de Segurana da Informao (Security Officer) que assumir responsabilidade global pelo
desenvolvimento e implementao da segurana;
109
Designar um gestor para cada ativo de informao, que ser o responsvel pela sua segurana no dia-a-dia;
Definir claramente as reas de responsabilidade de cada Gerente; Identificar claramente os diversos ativos e processos de segurana associados a cada sistema individual;
Documentar as responsabilidades que cada Gerente tem sobre cada ativo ou processo de segurana;
Tornar segura a administrao de usurios, autorizao, sua finalidade e utilizao;
Consultoria Interna (corresponde ao item 3 do questionrio APNDICE B)

Deve existir um consultor interno de segurana experiente que ter acesso a consultores externos apropriados para lhes dar assistncia em assuntos fora de sua rea de experincia e ter acesso direto a todos os nveis de gerncia dentro da organizao; Tratar de forma correta os casos de suspeita de incidente ou violao de segurana;
110
Cooperao entre Organizaes (corresponde ao item 4 do questionrio - APNDICE B)

Manter contatos com autoridades policiais, rgos reguladores, provedores de servios de informaes e operadoras de telecomunicaes para garantir a tomada rpida de providncias e a obteno de orientao em caso de um incidente de segurana; Providenciar filiao a associaes de segurana.
Reviso da Segurana (corresponde ao item 5 do questionrio APNDICE B)

A implementao da Poltica de Segurana deve ser revista por um rgo independente, para dar a garantia de que as prticas organizacionais refletem corretamente a poltica e que elas so viveis e eficazes.
Acesso de Terceiros (corresponde ao item 6 do questionrio APNDICE B)

Deve-se fazer o controle de acesso fsico de terceiros de forma correta; Deve ser feita uma avaliao de riscos para determinar as implicaes de segurana e os requisitos de controle, nos casos em que os negcios exigem o acesso de terceiros; Definir em contrato com o terceiro os controles de acesso;
111
Incluir nos contratos que concedem acesso a terceiros, disposies para a designao de outros participantes qualificados e as condies para o seu acesso;
Nos casos em que os negcios exigirem a conexo com um local de terceiros, deve ser realizada uma avaliao de riscos para identificar quaisquer requisitos de controles especficos, levando em conta o tipo de acesso necessrio, o valor das informaes, os controles utilizados pelo terceiro e as implicaes desse acesso para a segurana das informaes da organizao;
Deve existir uma poltica definida para terceiros que ficam localizados no site durante um determinado tempo, definido em contrato como: pessoal de manuteno e suporte de hardware e software; pessoal de limpeza, fornecimento de refeies, guardas de segurana e outros servios de suporte terceirizados, estagirios e outras nomeaes ocasionais em curto prazo e consultores;
O acesso s informaes e s instalaes de processamento de informaes por terceiros s deve ser concedido aps a implementao de controles apropriados e assinado um contrato que define as condies da conexo ou do acesso;
O acesso de terceiros s instalaes de processamento de informaes da organizao deve ser baseado em contrato formal que contenha referncia a todos os requisitos de segurana para assegurar a conformidade com as polticas e normas de segurana da organizao;
112
Especificar no contrato que a organizao receber indenizao por parte de seu fornecedor, caso ocorra algum incidente causado por algum funcionrio do prestador de servios;
Especificar no contrato que a organizao ter direito de monitorar e revogar as atividades de usurio, o direito de auditar as responsabilidades contratuais ou de fazer com que tal auditoria seja realizada por um terceiro;
Nos casos em que a responsabilidade pelo processamento das informaes for confiada a uma organizao externa, deve existir a tentativa de garantir a segurana das informaes.
3.3
Classificao e controle dos ativos de informao
OBJETIVO: Manter uma proteo apropriada dos ativos de informaes da ELECTRA.
Contabilizao dos Ativos

Todos os ativos de informao devem ser classificados e distribudos entre os gestores designados pela ELECTRA; A responsabilizao pelos ativos contribui para garantir que seja mantida uma proteo apropriada;
113
Devem ser identificados os gestores de todos os ativos relevantes e deve ser atribuda a responsabilidade pela manuteno e controles apropriados; A responsabilidade pela implementao dos controles pode ser delegada;
Inventrio dos Ativos

Os inventrios contribuem para assegurar que haja uma proteo eficaz dos ativos e podem ser necessrios para outros fins empresariais como, por exemplo, motivos de sade e segurana, de seguros ou financeiros. Compilar um inventrio dos ativos um aspecto muito importante do gerenciamento de riscos.
Devem-se seguir as caractersticas abaixo para compilar um inventrio:

Ser capaz de identificar os seus ativos e saber o valor relativo e a importncia dos mesmos; Oferecer nveis de proteo compatveis com o valor e a importncia dos ativos; Ter um acordo sobre sua propriedade e classificao de segurana e documentla, juntamente com sua localizao corrente; OBS.: O inventrio muito importante na recuperao aps qualquer perda ou danificao.
114
Exemplos de ativos associados a sistemas de informaes:
Ativos de Informao
Arquivos de dados; Documentao de sistemas e manuais de usurio; Material de treinamento; Procedimentos operacionais ou de suporte; Planos de continuidade; Arranjos de fallback (recursos alternativos); Informaes arquivadas.
Ativos de Software
Software aplicativo; Software de sistema; Ferramentas de desenvolvimento e utilitrios.
Ativos Fsicos
Equipamentos de computador (processadores, monitores, laptops, modems);
115
Equipamentos de comunicaes (roteadores, centrais PABX, mquinas de fax, secretrias eletrnicas);
Mdias magnticas (fitas e discos); Outros equipamentos tcnicos (fontes de alimentao, unidades de arcondicionado);
Mobilirio; Acomodaes.
Ativos de Servios
Servios de computao e de comunicaes; Utilidades pblicas em geral, como por exemplo, iluminao, aquecimento, gua, fora e ar-condicionado.
3.3.1 Classificao das informaes
OBJETIVO: Assegurar que os ativos de informao recebam um nvel de proteo adequado.
A classificao deve indicar:

A necessidade;
116
As prioridades; O grau de proteo. Algumas informaes so mais sensveis e crticas do que outras; Alguns itens podem exigir um nvel adicional de proteo ou manuseio especial;
Deve ser utilizado um sistema de classificao para definir um conjunto apropriado de nveis de proteo e comunicar a necessidade de medidas especiais de manuseio.
As diretrizes de classificao
A classificao e os controles protetores devem considerar:

As necessidades da ELECTRA de compartilhar ou restringir
informaes; Os impactos empresariais associados a tais necessidades, como acesso no autorizado ou danos integridade das informaes; A classificao atribuda constitui um meio abreviado para determinar como essa informao deve ser manuseada e protegida; As informaes e as sadas produzidas por sistemas que processam dados classificados devem ser rotulados quanto ao seu valor e grau de sensibilidade para a ELECTRA;
117
conveniente rotular as informaes para indicar at que ponto so crticas para a ELECTRA, quanto sua integridade e disponibilidade.
Alterao do Nvel de Classificao

A informao pode deixar de ser sensvel ou crtica aps um certo tempo como, por exemplo, quando foi divulgada para o pblico; Vrios aspectos devem ser levados em considerao, pois um excesso de sigilo pode causar custos adicionais desnecessrios ELECTRA; As diretrizes de classificao devem prever e levar em conta o fato de que a classificao de um determinado item de informao no necessariamente imutvel no tempo e pode mudar de acordo com uma poltica pr-determinada.
Rotulagem e manuseio de informaes

Definir um conjunto apropriado de procedimentos para a rotulagem e manuseio das informaes, de acordo com o esquema de classificao adotado pela ELECTRA. Devem abranger ativos de informao em formato fsico e eletrnico. Para cada classificao devem ser definidos procedimentos de manuseio referentes aos seguintes tipos de atividade de processamento da informao: Cpia; Armazenagem; Transmisso pelo correio, fax ou por e-mail;
118
Transmisso oral, incluindo telefone celular, correio de voz e secretrias eletrnicas;
Destruio.
A sada produzida por sistemas que contenham informaes classificadas como sensveis ou crticas deve receber uma classificao apropriada (na sada). Os itens a serem levados em conta devem incluir relatrios impressos, displays na tela, informaes gravadas (fitas, discos, CD-Roms, cassetes), mensagens eletrnicas e/ou transferncias de arquivo.
Estimativa de Valores dos Ativos da ELECTRA

a) Equipamentos de Grande e Mdio Porte (Servidores, Fitoteca, Leitora de cartuchos, Rob, infra-estrutura fsica do Data Center etc.): R$ 15.000.000,00. b) Aplicativos/BD/SO: R$ 48.000.000,00 c) Comunicao (Linhas privadas e etc): R$ 380.000,00 d) Grupo gerador, sistema de ar-condicionado, iluminao de emergncia, sistemas de monitorao (CFTV), alarmes e sensores, sprinklers e etc.: R$ 1.800.000,00. Os dados acima so estimativas aproximadas da realidade tecnolgica da ELECTRA. Eles permitem uma viso financeira dos ativos de informao e mostram quo importantes sero os investimentos para proteger esses ativos. Portanto, pode-se dizer que o valor investido em segurana representativo quando comparado com o valor total dos ativos.
119
Compilar inventrio dos ativos um aspecto muito importante do gerenciamento de riscos.
3.3.2 Recomendaes sobre os Ativos e Classificao das informaes
Nomear um gestor responsvel para cada ativo da empresa analisada Compilar um inventrio dos ativos fsicos e lgicos; Identificar o valor dos ativos; Elaborar a classificao das informaes conforme a Norma ISO/IEC 17799;
Criar diretrizes de classificao; Criar procedimentos para alterao dos nveis de classificao; Definir procedimentos de rotulagem de informaes.
3.3.3 Plano de Ao
Geral
Implementar a Classificao das Informaes (a metodologia dever estabelecer Escalas dos Graus de sigilo e o Teor Crtico das informaes da ELECTRA, de modo a refletir a abrangncia de utilizao da informao):
120
Escalas dos Graus: Pblica Interna Secreta
Teor Crtico: Pouco Crtica Crtica Muito Crtica
Procedimentos de Proteo: Criao Divulgao Reproduo Transporte Armazenamento Destruio
121
Responsabilidade sobre os ativos (equipamentos e Informaes) (corresponde ao item 1 do questionrio - APNDICE B)

Mantida uma proteo apropriada dos ativos da organizao; Identificados os gestores de todos os ativos relevantes e atribuir a responsabilidade pela manuteno de controles apropriados; Delegar a responsabilidade pela implementao dos controles; Providenciar que a responsabilidade continue com o gestor designado do ativo.
Inventrio dos ativos (corresponde ao item 2 do questionrio APNDICE B)

Inventariar os ativos da empresa; Criticar inventrio dos ativos; Oferecer nveis de proteo compatveis com o valor e a importncia dos ativos; Documentar cada ativo de acordo sobre sua propriedade e classificao de segurana, juntamente com sua localizao corrente (muito importante na recuperao aps qualquer perda ou danificao).
122
Classificao e controle de ativos (item 3 do questionrio - APNDICE B)

Tornar capaz a identificao dos ativos e saber o valor relativo e a importncia dos mesmos; Elaborar e manter um inventrio dos ativos importantes associados a cada sistema de informaes.
Classificao das informaes (item 4 do questionrio - APNDICE B)

Classificar as informaes para assegurar que os ativos de informao recebam um nvel de proteo adequado; A classificao dever indicar a necessidade, as prioridades e o grau de proteo; Utilizar um sistema de classificao para definir um conjunto apropriado de nveis de proteo e comunicar a necessidade de medidas especiais de manuseio;
Diretrizes de classificao (corresponde ao item 5 do questionrio APNDICE B)

A classificao e os controles protetores associados devem levar em considerao as necessidades da empresa de compartilhar ou restringir informaes e os impactos empresariais associados a tais necessidades,
123
Permitir que a classificao atribuda constitua um meio abreviado para determinar como a informao manuseada e protegida;
As informaes e as sadas produzidas por sistemas que processam dados classificados devem ser rotulados quanto ao seu valor e grau de sensibilidade para a organizao;
As informaes devem ser rotuladas para indicar at que ponto so crticas para a organizao, quanto sua integridade e disponibilidade.
Alterao do nvel de Classificao (corresponde ao item 6 do questionrio - APNDICE B)

Devem ser levados em conta aspectos, em que um excesso de sigilo pode causar custos adicionais desnecessrios empresa; As diretrizes de classificao devem prever e levar em conta o fato de que a classificao de um determinado item de informao no necessariamente imutvel no tempo e que pode mudar de acordo com uma poltica pr-determinada; O nmero de categorias de classificao e os benefcios que se obtm do seu uso devem ser levados em conta; Devem ser tomados cuidados ao interpretar rtulos de classificao em documentos de outras organizaes, que podero ter diferentes significados para rtulos iguais ou similares;
124
A responsabilidade pela definio da classificao de uma determinada informao e pela reviso peridica desta classificao deve ser delegada pela pessoa que originou a informao ou do gestor designado da informao.
Rotulagem e manuseio de informaes (corresponde ao item 7 do questionrio - APNDICE B)

Deve ser definido um conjunto apropriado de procedimentos para a rotulagem e manuseio das informaes, de acordo com o esquema de classificao adotado pela organizao. Devem ser abrangidos os ativos de informao em formato fsico e eletrnico; Para cada classificao devem ser definidos procedimentos de manuseio referentes aos seguintes tipos de atividade de processamento da informao: relatrios impressos, displays na tela, informaes gravadas (fitas, discos, CD-ROMs, cassetes), mensagens eletrnicas e
transferncias de arquivo; Recomenda-se utilizar etiquetas fsicas na rotulagem.
3.4
Segurana em pessoas
OBJETIVO:
125
Manter a segurana das instalaes de processamento de informaes e dos ativos de informao da ELECTRA acessados na organizao. O acesso lgico e fsico de deve ser rigidamente controlado; Nos casos em que os negcios exigem o acesso de terceiros, convm que seja feita uma avaliao de riscos para determinar as implicaes de segurana e os requisitos de controle, principalmente para sistemas crticos; Os controles devem ser acertados e definidos em um contrato de confidencialidade com os funcionrios da ELECTRA e os terceiros e seus funcionrios e sempre que houver substituio de seu pessoal ou movimentao interna que implique em mudana de responsabilidades, o sucessor deve assinar o contrato de confidencialidade e principalmente quando a empresa terceirizada subcontratar servios; Os contratos que concedem acesso a terceiros devem incluir disposies para a designao de outros participantes qualificados e as condies para o seu acesso.
Motivos para acesso de terceiros

Existem terceiros que prestam servios ELECTRA e no esto localizados no seu site, mas podem ter acesso fsico e lgico, tais como: Pessoal de suporte de hardware e software que precisa de acesso funcionalidade de aplicativos em nvel de sistema ou em baixo nvel;
126
Parceiros de negcios ou joint ventures, que podero fazer o intercmbio de informaes, acessar sistemas de informaes ou compartilhar os dados da ELECTRA.
Terceiros no site da ELECTRA

Terceiros que ficam localizados no site durante um determinado tempo, definido em contrato, tambm podem causar brechas de segurana, como por exemplo: Pessoal de manuteno e suporte de hardware e software; Pessoal de limpeza, fornecimento de refeies, guardas de segurana e outros servios de suporte terceirizados; Estagirios e outras nomeaes ocasionais em curto prazo.
Empreiteiros no site da ELECTRA

essencial entender quais so os controles necessrios para administrar o acesso de terceiros a instalaes de processamento de informaes; Os requisitos de segurana decorrentes do acesso de terceiros ou controles internos devem estar contidos no contrato com o terceiro; Se houver uma necessidade especial de confidencialidade das informaes, podem ser utilizados termos de compromisso de norevelao.
127
Cuidados que a ELECTRA deve observar em relao ao acesso de terceiros

As informaes podem ser colocadas em risco pelo acesso de terceiros se a administrao da segurana for inadequada. Nos casos em que os negcios exigem a conexo com um local de terceiros, deve ser feita uma avaliao de riscos para identificar quaisquer requisitos de controles especficos.
A avaliao deve levar em conta:

O tipo de acesso necessrio; O valor das informaes; Os controles utilizados pelo terceiro; As implicaes deste acesso para a segurana da informao da ELECTRA.
3.4.1 Terceirizao
OBJETIVO: Manter a segurana da informao nos casos em que a responsabilidade pelo processamento das informaes da ELECTRA for confiada a uma organizao externa.
128
Os requisitos de segurana da organizao (que entrega a terceiros o gerenciamento e controle de todos ou de alguns dos seus sistemas de informaes e ambientes de rede e/ou desktops) devem ser tratados em um contrato celebrado entre as partes;
As condies apresentadas no item 4.2.2 da Norma ABNT ISO/IEC 17799 devem ser consideradas como parte desse contrato.
O contrato com terceiros da ELECTRA deve cobrir os seguintes itens:

O modo de atender s exigncias legais como, por exemplo, a legislao de proteo dos dados; Os arranjos a serem implementados para garantir que todas as partes envolvidas na terceirizao, incluindo sub-empreiteiras, estejam cientes de suas responsabilidades de segurana; O modo de manter e testar a integridade e confidencialidade dos ativos empresariais da ELECTRA; Os controles fsicos e lgicos a serem utilizados para restringir e limitar aos usurios autorizados o acesso s informaes empresariais sensveis da ELECTRA; O modo de manter a disponibilidade dos servios em caso de um acidente; Os nveis de segurana fsica a serem fornecidos para os equipamentos terceirizados;
129
O direito de auditoria.
3.4.2 Fatores humanos
OBJETIVO: Reduzir os riscos de falha humana, furto, fraude e/ou uso indevido das instalaes. As responsabilidades devem ser atendidas desde a fase de recrutamento, includas nos contratos e monitoradas enquanto durar o vnculo empregatcio. Deve ser exigido do empregado o acordo por escrito de no divulgao das informaes.
Segurana nas responsabilidades da funo

As responsabilidades de segurana que devem ser documentadas sempre: Responsabilidades gerais pela implementao e manuteno da poltica de segurana; Responsabilidades especficas pela proteo de determinados ativos; Responsabilidades pela execuo de determinados procedimentos ou atividades de segurana.
130
Triagem de pessoal e poltica

Verificar antecedentes do pessoal permanente, contratados e estagirios por ocasio da admisso, em cuja triagem deve-se observar o seguinte: Existncia de referncias satisfatrias como, por exemplo, uma profissional e uma pessoal; Se o currculo apresentado pelo candidato completo e correto; Qualificaes acadmicas e profissionais apresentadas pelo candidato; Identidade e CPF do candidato.
Quando um cargo proporcionar acesso a equipamentos de processamento de informaes sensveis (informaes financeiras ou informaes altamente
confidenciais), deve-se observar: A situao de crdito do empregado. Para o pessoal em funes com grande autoridade repetir periodicamente a verificao; Processo de triagem similar deve ser realizado para subcontratados e pessoal temporrio. Nos casos em que terceiros so fornecidos por uma agncia, o contrato com a agncia deve especificar claramente as seguintes responsabilidades: Triagem e procedimentos de notificao que ela dever adotar se o processo de triagem no foi completado. Se os seus resultados derem motivo a dvidas ou a preocupaes;
131
Avaliar o grau de superviso necessrio para pessoal novo e inexperiente, com autorizao de acesso a sistemas sensveis;
O trabalho de todo o pessoal deve ser sujeito a exames peridicos e a procedimentos de aprovao por um membro mais graduado do quadro.
Os gerentes devem se dar conta do fato de que circunstncias pessoais dos seus subordinados podem afetar o trabalho dos mesmos e devem ficar atentos s seguintes situaes: Problemas pessoais e financeiros, mudanas de comportamento ou de estilo de vida, faltas constantes e sinais de estresse ou depresso poderiam levar a fraude, furto, erros ou outras implicaes de segurana; As informaes devem ser tratadas de acordo com a legislao apropriada, vigente na jurisdio em questo.
Compromissos de confidencialidade
Usam-se compromissos de confidencialidade ou no-revelao para indicar que determinadas informaes so confidenciais ou secretas; Empregados devem assinar tais compromissos como parte do seu contrato de trabalho; Pessoal temporrio e os usurios externos devem assinar compromisso de confidencialidade antes de terem acesso a instalaes de processamento de informaes. Devem-se rever os compromissos de confidencialidade sempre que:
132
Houver mudanas nas condies de emprego ou no contrato; Os empregados estiverem para sair da ELECTRA; Os contratos estiverem para terminar.
Termos e condies de emprego

Os termos e condies de emprego devem estipular a responsabilidade do empregado pela segurana da informao; Eventualmente essas responsabilidades devem continuar em vigor durante um determinado perodo aps o trmino da relao de emprego; Devem incluir as providncias a tomar se o empregado deixar de atender s exigncias contratuais. Devem ser includas nos contratos as responsabilidades e direitos legais do empregado, em relao aos seguintes fatores: As leis de copyright; A legislao de proteo dos dados; A classificao e gesto dos dados do empregado; As responsabilidades que se aplicam fora das instalaes da ELECTRA e fora do horrio normal de trabalho e fora do local de trabalho (uso de notebook).
133

Conscientizar os usurios sobre as ameaas e preocupaes e assegurar que eles estejam em condies de apoiar a poltica de segurana da ELECTRA no decorrer do seu trabalho normal; Os usurios devem receber treinamento sobre procedimentos de segurana e sobre o uso correto das instalaes de processamento de informaes, a fim de minimizar os possveis riscos de segurana; Todos os empregados da ELECTRA e os usurios externos devem receber treinamento adequado e atualizaes regulares sobre as polticas e os procedimentos da ELECTRA, antes de terem acesso s informaes ou aos servios; Incluir requisitos de segurana, responsabilidades legais e controles empresariais e treinamento sobre o uso correto dos equipamentos de processamento de informaes.
Reao a incidentes de segurana e falhas

Minimizar os prejuzos causados por incidentes de segurana e falhas e monitorar tais incidentes; Os incidentes que afetarem a segurana devem ser comunicados o quanto antes, atravs dos canais administrativos apropriados; Empregados e subcontratados devem estar informados sobre os procedimentos de comunicao dos diversos tipos de incidentes.
134
Comunicao de pontos fracos de segurana

Usurios de servios de informaes devem anotar e comunicar pontos fracos de segurana observados ou suspeitos e quaisquer ameaas ao ambiente, sistemas ou servios; Devem comunicar essas questes sua gerncia ou diretamente ao seu provedor de servios, com a mxima rapidez; Convm informar aos usurios que eles no devem em hiptese alguma testar a veracidade de um ponto fraco suspeito; O teste de um ponto fraco poderia ser interpretado como um uso abusivo potencial do ambiente, sistema ou servio. Estabelecer procedimentos para comunicar falhas de segurana do ambiente, como: Anotar os problemas e as caractersticas ou sintomas que evidenciem a sua presena; O gestor de segurana, brigada presente no local e/ou o superior imediato devem ser notificados imediatamente;
Aprendendo com os incidentes

Implementar mecanismos para permitir a quantificao e monitorao dos tipos, volumes e custos de incidentes e falhas de funcionamento;
135
Atravs dessas informaes, identificar incidentes ou falhas repetidas ou de alto impacto.
Indicar a necessidade de controles aperfeioados ou adicionais para: Limitar a freqncia; Limitar danos e custos de futuras ocorrncias; Levar em considerao no processo de reviso da poltica de segurana.
Deve haver um processo disciplinar formal para empregados que violarem as polticas e procedimentos de segurana da ELECTRA e para a coleta de provas; O processo poder desencorajar empregados com tendncia para desrespeitar os procedimentos de segurana; O processo deve assegurar um tratamento correto e justo de empregados suspeitos de cometerem violaes de segurana, graves ou persistentes.
3.4.3 Situao atual em relao Segurana em Pessoas/Fatores Humanos
O contrato com terceiros possui clusulas de confidencialidade; O gerente da rea qual o terceiro est sendo contratado quem autoriza e define o nvel de acesso do mesmo;
136
Foi observado que em horrio de pico pode ocorrer certa dificuldade para as recepcionistas observarem se a pessoa entrou ou saiu sem autorizao;
O acesso de terceiros nos finais de semana e feriados controlado com antecedncia, sendo definido pelas gerncias;
Existem falhas na validade de logins e elas ocorrem entre o momento do desligamento do funcionrio e a comunicao do RH desse desligamento rea responsvel pela desativao. Nesse intervalo, o funcionrio continua possuindo o login (o empregado se desliga, mas seu login exigido por motivos de privilgio);
No h treinamento de segurana para o terceirizado; Todo acesso lgico de terceiros controlado e os nveis de permisso so concedidos pelas gerncias ao qual aquele terceiro est alocado;
Existem terceiros que prestam servios ao ambiente corporativo da ELECTRA e no esto localizados no site, mas podem ter acesso fsico e lgico.
3.4.4 Recomendaes em relao Segurana em Pessoas
Convm rever os contratos com terceiros, terceirizados e estagirios para uma perfeita adequao Norma, item 4.2.2, no qual todos devem assinar um termo de confidencialidade;
137
Convm exigir que as empresas prestadoras de servios da ELECTRA apresentem termos de confidencialidade assinados de cada funcionrio e/ou subcontratados;
Convm exigir que os terceiros e empregados sejam treinados conforme a Norma ISO/IEC 17799, que trata da Gesto de Segurana nas Organizaes e s conceder o acesso s informaes e s instalaes de processamento de dados por terceiros, aps a implementao de controles e treinamentos apropriados e tendo assinado um contrato que define as condies da conexo ou do acesso. Deve ser criada, na rea de treinamento, uma equipe para treinamento da ISO/IEC 17799;
Convm que mesmo quando o terceiro (ou funcionrio) esteja de frias, licena mdica ou qualquer afastamento, o acesso ao ambiente da ELECTRA se restrinja ao horrio comercial;
A excluso de login deve ser comunicada imediatamente quando ocorrer demisso de funcionrio por parte do RH ao Departamento de Administrao da Rede ou ao Departamento de Sistemas Corporativos;
Convm que sejam adotadas medidas de controle de acesso fsico (CFTV com monitorao remota, biometria etc.).
O acesso s informaes e s instalaes de processamento de informaes por terceiros s deve ser concedido aps:
Implementados os controles apropriados;
138
Assinado um contrato que defina as condies do acesso. O contrato ser redigido de maneira a evitar mal-entendidos entre a ELECTRA e o terceiro;
A ELECTRA deve certificar-se de que receber uma indenizao por parte de seu prestador de servios, em caso de quebra de confidencialidade, integridade e incidente malicioso.
Os requisitos contratuais para prestadores de servios citados nesta Anlise e que constam no item 4.2.2 da norma ABNT ISO/IEC 17799 devem ser aplicados em carter de emergncia;
O sistema de dados de pessoas que freqentam o Data Center da ELECTRA deve conter o maior nmero de informaes e, se possvel, a fotografia, bem como cadastro e nome da empresa;
Exigir dos empregados e terceiros a assinatura de acordo com termo de confidencialidade e no-divulgao de informaes e concordncia com a Poltica de Segurana da ELECTRA;
Incluir no acordo as responsabilidades da funo; Convm que seja executada sempre uma triagem por ocasio da admisso de funcionrios e terceirizados, conforme o especificado no item 6.1.2 da ISO/IEC 17799.
Os gerentes devem ficar atentos a mudanas de comportamento; Convm que seja criada uma estrutura para ministrar treinamentos especficos de segurana. Deve haver treinamentos adequados para todos
139
os funcionrios e novos contratados antes de terem acesso s informaes e servios; Elaborar formulrios com histricos de falhas do ambiente, contendo a assinatura de quem identificou a falha e a ao que foi tomada; Toda falha deve ser comunicada gerncia imediatamente; Criar um Comit Disciplinar integrado por membros de equipe de segurana/gerncia/RH e um processo formal para empregados que violarem a poltica e o acordo de confidencialidade de informaes; Aprovar, em carter de emergncia, a Poltica de Segurana Corporativa das Informaes.
3.4.5 Plano de Ao
Geral
Analisar e promover as correes necessrias nos contratos de terceiros; Re-analisar e adequar todos os privilgios de acesso; Desenvolver procedimentos para desativao on-line de login de funcionrios que so transferidos, promovidos, demitidos ou suspensos; Realizar treinamento de segurana para funcionrios e terceirizados; Dotar reas crticas de monitorao via CFTV;
140
Adotar e/ou adequar a tecnologia de controle de acesso de funcionrios, terceirizados e visitantes, visando restringir fraudes e acesso no autorizado;
Segurana na definio de funes e no recrutamento de pessoal (corresponde ao item 1 do questionrio - APNDICE B)

Devem ser tomadas medidas para reduzir os riscos de falha humana, furto, fraude ou uso indevido das instalaes; As responsabilidades devem ser atendidas desde a fase de recrutamento.
Como
incluir
segurana
nas
responsabilidades
da
funo
(corresponde ao item 2 do questionrio - APNDICE B)

As responsabilidades de segurana devem ser documentadas sempre que for apropriado; Devem ser definidas responsabilidades gerais pela implementao e manuteno da poltica de segurana; Devem ser definidas responsabilidades especficas pela proteo de determinados ativos ou responsabilidades pela execuo de determinados procedimentos ou atividades de segurana.
141
Triagem de pessoal e poltica (corresponde ao item 3 do questionrio APNDICE B)

Devem ser verificados os antecedentes do pessoal permanente, por ocasio do pedido de emprego; Devem ser solicitadas referncias satisfatrias, como por exemplo, uma profissional e uma pessoal; Deve ser verificado se o currculo apresentado pelo candidato est completo e correto; Devem ser verificadas as qualificaes acadmicas e profissionais apresentadas pelo candidato; Deve ser verificada a identidade do candidato; Quando um cargo proporcionar acesso a equipamentos de processamento de informaes sensveis (informaes financeiras ou informaes altamente confidenciais) devem ser verificada a situao de crdito do empregado; Para o pessoal em funes com grande autoridade, a verificao deve ser repetida periodicamente; Deve ser realizado processo de triagem similar para subcontratados e pessoal temporrio;
142
Deve ser verificado se na triagem e nos procedimentos de notificao que ela adota se o processo foi completado ou se os seus resultados do margem a dvidas ou a preocupao;
Os gerentes devem levar em conta o fato de que circunstncias pessoais dos seus subordinados podem afetar o trabalho dos mesmos, como problemas pessoais e financeiros, mudanas de comportamento ou de estilo de vida, faltas constantes e sinais de estresse ou depresso, que podem levar a fraude, furto, erros ou outras implicaes de segurana;
As informaes devem ser tratadas de acordo com a legislao apropriada, vigente na jurisdio em questo.
Compromissos de confidencialidade (corresponde ao item 4 do questionrio - APNDICE B)

O pessoal temporrio e os usurios externos devem assinar compromisso de confidencialidade antes de terem acesso a instalaes de processamento de informaes; Os compromissos de confidencialidade devem ser revistos quando h mudanas nas condies de emprego ou no contrato; Os compromissos de confidencialidade devem ser revistos quando os empregados esto para sair da organizao ou quando os contratos esto para terminar.
143
Termos e condies de emprego corresponde ao item 5 do questionrio - APNDICE B)

Os termos e condies de emprego devem estipular a responsabilidade do empregado pela segurana das informaes; Essas responsabilidades devem continuam em vigor durante um determinado perodo aps o trmino da relao de emprego; Devem ser levadas em conta as providncias a tomar se o empregado deixar de atender s exigncias contratuais; Devem ser includas nos contratos as responsabilidades e direitos legais do empregado, com relao: s leis de copyright ou legislao de proteo dos dados, a classificao e pelo tratamento dos dados sobre o empregado, as responsabilidades que se aplicam fora das instalaes da organizao e fora do horrio normal de trabalho, e fora do local de trabalho (ex.: uso de notebook).
Treinamento dos usurios (item 6 do questionrio - APNDICE B)

Deve ser assegurado que os empregados estejam em condies de apoiar a poltica de segurana da organizao no decorrer do seu trabalho normal; Os usurios devem receber treinamento sobre procedimentos de segurana e sobre o uso correto das instalaes de processamento de informaes, a fim de minimizar os possveis riscos de segurana.
144
Educao e treinamento em segurana das informaes (corresponde ao item 7 do questionrio - APNDICE B)

Todos os empregados da organizao e os usurios externos devem receber treinamento adequado e atualizaes regulares sobre as polticas e os procedimentos da organizao, antes de terem acesso s informaes ou aos servios; Devem ser includos requisitos de segurana, responsabilidades legais e controles empresariais e treinamento sobre o uso correto dos equipamentos de processamento de informaes.
Reao a incidentes de segurana e falhas (corresponde ao item 8 do questionrio - APNDICE B)

Devem ser tomadas medidas visando minimizar os prejuzos causados por incidentes de segurana e falhas e monitorados tais incidentes; Os incidentes que afetarem a segurana devem ser comunicados o quanto antes, atravs dos canais administrativos apropriados; Devem ser recolhidas provas o quanto antes, aps a ocorrncia de um incidente.
Comunicao de incidentes de segurana (corresponde ao item 9 do questionrio - APNDICE B)
145
Os incidentes devem ser utilizados no treinamento de conscientizao dos usurios, sobre o que poderia acontecer, como reagir a tais incidentes e como evit-los no futuro.
Comunicao de pontos fracos de segurana (corresponde ao item 10 do questionrio - APNDICE B)

Os usurios de servios de informaes devem anotar e comunicar pontos fracos de segurana observados ou suspeitos e quaisquer ameaas a sistemas ou servios; Essas questes devem ser comunicadas sua gerncia ou diretamente ao seu provedor de servios, com a mxima rapidez; Deve ser avisado aos usurios que eles no devem, em hiptese alguma, tentar provar um ponto fraco de que suspeitam, pois o teste de um ponto fraco poderia ser interpretado como um uso abusivo potencial do sistema.
Aprendendo com os incidentes (item 11 do questionrio - APNDICE B)

Devem ser implementados mecanismos para permitir a quantificao e monitorao dos tipos, volumes e custos de incidentes e falhas de funcionamento; Atravs dessas informaes devem ser identificados incidentes ou falhas repetidas ou de alto impacto;
146
Deve ser indicada a necessidade de controles aperfeioados ou adicionais para limitar a freqncia, os danos e o custo de futuras ocorrncias ou levar em considerao no processo de reviso da poltica de segurana;
Processo disciplinar (item 12 do questionrio - APNDICE B)

Deve existir um processo disciplinar formal para empregados que violarem as polticas e procedimentos de segurana da organizao e para a coleta de provas; Deve existir um procedimento que vise desencorajar empregados com tendncia para desrespeitar os procedimentos de segurana; Esse procedimento assegurar um tratamento correto e justo de empregados suspeitos de cometerem violaes de segurana, graves ou persistentes.
Situaes de emergncia (corresponde ao item 13 do questionrio APNDICE B)

Deve existir treinamento acerca de preveno de acidentes em todos os turnos; Deve existir uma lista de telefones e endereos de emergncia (prontosocorro, hospitais, corpo de bombeiros, policia militar etc.); Devem ser realizados procedimentos destinados remoo de pessoas; Deve existir informao e treinamento quanto Poltica de Segurana;
147
A gerncia e a superviso devem inspecionar as reas em horrios alternados.
Casos de incndio (corresponde ao item 14 do questionrio APNDICE B)

Deve ser realizado treinamento de evacuao do edifcio; Deve ser realizado treinamento acerca de salvamento de ativos (documentos, meios magnticos); Deve ser feita divulgao/exibio dos telefones do corpo de bombeiros; Os funcionrios devem ser treinados para combater incndios que possam ocorrer na rea do computador; Devem existir brigadas de incndio organizadas.
Segurana funcional (corresponde ao item 15 do questionrio APNDICE B)

Deve ser feito um acompanhamento de funcionrios descontentes ou com problemas financeiros a pessoais; Os antecedentes de funcionrios novos devem ser verificados; Todos os funcionrios devem ser instrudos quanto a medidas de segurana adotadas.
148
3.5
Segurana fsica e do ambiente
OBJETIVO: O objetivo da Segurana Fsica e do Ambiente prevenir acesso no autorizado, dano e interferncia s informaes e instalaes fsicas das organizaes.
Permetros de segurana analisados:

Hall de entrada do piso trreo; Hall de elevadores; Acesso ao estacionamento interno e uso comum e carga/descarga; Entradas principais dos pavimentos; Pavimento da cobertura; Almoxarifados; Arquivo; Iluminao; Equipamentos de combate a incndio; Sadas de emergncia e sinalizao; Sala de controle; Data Center;
149
Ambiente de redes e teleprocessamento; Controle de acesso fsico; Piso elevado; Pavimentos estratgicos que contenham equipamentos de controle ou infra-estrutura.
reas de segurana da ELECTRA

As reas crticas ou sensveis devem estar localizadas em reas seguras e: Serem protegidas por um permetro de segurana definido; Serem protegidas por barreiras de segurana; Terem controles de entrada apropriados; serem protegidas fisicamente contra acesso no autorizado, danos e interferncia; Terem grau de proteo proporcional e ser compatvel com os riscos identificados; Terem poltica de mesa vazia e tela vazia para reduzir o risco de acesso no autorizado ou danos a documentos, mdias e instalaes de processamento de informaes.
150
Permetro de Segurana
Na proteo com barreiras fsicas em volta das instalaes da ELECTRA e dos equipamentos de processamento de informaes devem ser observadas as seguintes situaes: Cada barreira deve estabelecer um permetro de segurana onde cada uma delas contribui para o aumento da proteo total oferecida; Utilizar permetros de segurana para proteger as reas que contm equipamentos de processamento de informaes crticos; Um permetro de segurana algo que constitui uma barreira, uma parede, um porto de entrada controlado por carto, biometria ou ambos; O permetro de um edifcio ou site que contm reas crticas deve ser fisicamente slido e atender aos seguintes requisitos: No deve haver brechas no permetro de segurana ou reas que permitem uma penetrao fcil, tanto de pessoas quanto de fumaa, gases corrosivos, poeira, gua, fogo etc; As paredes externas devem ser de construo slida e as portas externas devem ser devidamente protegidas contra o acesso no autorizado, com mecanismos de controle, alarmes etc; Portas corta-fogo de um permetro de segurana devem ser equipadas com alarme e fechar automaticamente;
151
As barreiras fsicas devem se estender do piso bruto ao teto bruto para impedir o acesso no autorizado e contaminao ambiental.
Controles fsicos de entrada - autenticao

reas seguras devem ser protegidas por controles de entrada apropriados e devese observar o seguinte: Utilizar cartes magnticos mais nmero de identificao pessoal (PIN) e/ou biometria para autorizar e validar todos os acessos; Manter trilhas de auditoria de todos os acessos guardadas em um local seguro e remoto; Exigir que o pessoal utilize alguma forma de identificao visvel e que interpele pessoas estranhas no acompanhadas e qualquer pessoa que no esteja usando uma identificao visvel; Os direitos de acesso a reas seguras devem ser revistos e atualizados regularmente.
Definio de rea segura

As salas de cada departamento, dentro do permetro fsico da ELECTRA, devem permanecer trancadas e dispor de controle de acesso por senha e/ou biomtrico; Devem-se utilizar arquivos de ao trancveis e cofres para proteo de mdias.
152
A escolha e o projeto de uma rea segura devem levar em conta as possibilidades de danos causados pelos riscos ou vulnerabilidades;
Devem ser levadas em considerao eventuais ameaas segurana causadas por instalaes vizinhas, infiltraes, vazamento de gua proveniente de outra rea ou da prpria laje.
Devem ser considerados os seguintes aspectos: Os equipamentos crticos devem estar num local no acessvel ao pblico; Os prdios devem ser discretos e indicar o mnimo possvel a sua finalidade, sem sinais visveis, dentro ou fora do edifcio, que identifiquem a presena de atividades de processamento das informaes ou o nome da instituio; Funes e equipamentos de suporte (fotocopiadoras e aparelhos de fax) devem ficar num local apropriado dentro da rea segura para evitar pedidos de acesso que poderiam comprometer as informaes e dispor de senhas de controles de acessos para liberao de uso; As portas e janelas devem ficar trancadas quando no houver ningum presente e deve-se pensar em sensores de proteo externa para as janelas, principalmente as localizadas no pavimento trreo.
153
Controles
Implementar sistemas apropriados de deteco de intrusos, instalados segundo padres profissionais e testados regularmente, para cobrir todas as portas externas e as janelas acessveis; As reas no ocupadas devem ter um alarme armado permanentemente; Os equipamentos administrados pela ELECTRA devem ficar fisicamente separados dos equipamentos administrados por terceiros; As listas de pessoal e listas telefnicas internas que identificam a localizao dos equipamentos de processamento de informaes sensveis no devem ficar expostas e acessveis ao pblico; A proteo das instalaes considera que: Materiais perigosos ou combustveis devem ser armazenados de modo seguro e a uma distncia adequada de uma rea crtica; Os suprimentos em grande volume no devem ficar armazenados dentro de uma rea crtica, devendo ser requisitados medida que forem utilizados; Os equipamentos e mdia de backup devem ficar localizados a uma distncia segura para que no sejam danificados em caso de um acidente no site principal.
154
Atividades de terceiros
O pessoal s deve saber da existncia de uma rea segura e das atividades nela executadas quando for estritamente necessrio; Deve-se evitar o trabalho no supervisionado em reas seguras, por motivos de segurana; reas seguras desocupadas devem ser trancadas fisicamente e inspecionadas periodicamente; Suporte de terceiros ter acesso restrito s reas seguras ou aos equipamentos de processamento de informaes sensveis e somente quando necessrio; Acesso deve ser autorizado antes e monitorado; Devem-se criar barreiras e permetros adicionais de controle de acesso fsico entre reas com diferentes requisitos de segurana dentro do permetro de segurana; No deve ser permitida a presena de equipamento fotogrfico, de vdeo, de comunicao pessoal, de udio ou de outro equipamento de gravao, a menos que seja autorizado.
reas de entregas e de carregamento

O acesso a uma rea de armazenagem provisria, a partir do exterior de um edifcio, deve ser restrito ao pessoal identificado e autorizado;
155
A rea de armazenagem provisria deve ser projetada de tal maneira que os suprimentos possam ser descarregados sem que o pessoal de entrega tenha acesso a outras partes do edifcio;
As portas externas de uma rea de armazenagem provisria devem ser trancadas enquanto a porta interna estiver aberta;
Todo material recebido deve ser inspecionado para detectar eventuais perigos antes de ser transportado da rea de armazenagem provisria ao local de utilizao;
Todo material recebido deve ser registrado ao entrar no site; As reas de entregas e de carregamento devem ser controladas e se possvel isoladas dos equipamentos de processamento de informaes, a fim de evitar o acesso no autorizado.
3.5.1 Segurana em equipamentos
OBJETIVO: Impedir a perda, dano ou comprometimento de ativos e a interrupo das atividades da ELECTRA. Os equipamentos devem ser protegidos fisicamente contra as ameaas a sua segurana e contra os perigos ambientais;
156
A proteo dos equipamentos necessria para reduzir o risco de acesso no autorizado aos dados e para impedir que os equipamentos sejam perdidos ou danificados;
Devem ser implementados controles especiais para proteo contra perigos ou acesso no autorizado e para preservar os equipamentos de apoio, tais como o suprimento de energia e infra-estrutura de cabeamento.
Localizao e proteo dos equipamentos

Os equipamentos devem ser localizados ou protegidos de modo a reduzir os riscos das ameaas e perigos do meio ambiente e as oportunidades de acesso no autorizado e devem obedecer ao seguinte: Serem localizados de modo a minimizar o acesso desnecessrio s reas de trabalho; Os equipamentos de processamento e armazenagem de informaes que manuseiam dados sensveis devem ser posicionados de modo a minimizar o risco de olhares indiscretos durante o uso. Devem ser adotados controles para minimizar o risco de ameaas potenciais, incluindo furto, incndio, exploses, fumaa, gua (falha no abastecimento), poeira, vibrao, efeitos qumicos, interferncia no suprimento de fora, radiao eletromagntica e acesso indevido fsico e lgico.
157
Riscos da vizinhana
Um incndio em empresas ou ambientes vizinhos pode colocar em risco o seu ambiente de tecnologia; Grandes frentes de janelas oferecem caminho natural para a subida de chamas, o calor quebra os vidros e o ambiente penetrado por fumaa txica e pelas chamas; Canos de PVC, quando aquecidos, liberam gases a base de cloro e enxofre, que, em contato com a gua, reagem e se transformam em cido clordrico e sulfrico, que so txicos e corrosivos.

A ELECTRA deve estabelecer uma poltica referente aos atos de comer, beber e fumar nas instalaes de processamento e armazenamento de informaes ou em sua proximidade; conveniente monitorar as condies ambientais quanto a fatores que poderiam afetar negativamente a operao dos equipamentos de processamento e armazenamento de informaes; Deve-se levar em conta o impacto de um incidente em instalaes prximas como, por exemplo, incndio em edificaes vizinhas, vazamento de gua no telhado ou em pavimentos do subsolo ou exploso na rua.
158
3.5.2 Suprimento de energia eltrica
OBJETIVO: Providenciar suprimento adequado de eletricidade que atenda s especificaes do fabricante dos equipamentos. Devem ser providenciadas fontes alternativas para gerao de energia e observados os seguintes requisitos: Utilizar mltiplas fontes de alimentao para evitar que o suprimento dependa de uma nica fonte; Utilizar gerador de backup; Utilizar um suprimento prova de interrupes (UPS/no-break) para suportar a parada ordenada ou a continuao da operao, no caso de equipamentos que suportam operaes crticas para a ELECTRA; Planejar contingncia indicando as providncias a tomar em caso de falha do UPS (Uninterruptible Power Supply)/no-break; Testar regularmente o equipamento, de acordo com as recomendaes do fabricante, para assegurar que o mesmo tenha a capacidade adequada.
Pontos crticos no suprimento de energia eltrica

Bancada de baterias, risco de exploso e falha do equipamento;
159
Gerador de backup caso se deseje que o processamento continue em caso de uma falta de fora prolongada e testes peridicos;
Estocagem do leo diesel e manuteno da sua qualidade, muretas de conteno;
Suprimento adequado de combustvel para assegurar que o gerador possa operar durante um perodo prolongado;
Chaves de fora de emergncia localizadas perto das sadas de emergncia das salas de equipamentos para facilitar o desligamento rpido da fora em caso de emergncia;
Iluminao de emergncia para o caso de falta de fora; Existncia de pra-raios com filtros de proteo contra raios em todas as linhas externas de comunicaes;
Deve haver Gaiola de Faraday (cmara metlica com ligao a terra, que Faraday, famoso qumico e fsico ingls idealizou. um recinto metlico (gaiola ou cmara, conforme o caso) em cujo interior no podem penetrar emisses eltricas ou eletromagnticas.) e pra-raios Franklin (pra-raios tipo haste instalado no alto de edificaes ou das torres. Esse pra-raios oferece proteo para a edificao contida sob o cone de proteo cujo vrtice encontra-se no topo da haste captora. O que estiver dentro desse espao estar protegido. O ngulo de proteo variar de acordo com o nvel de proteo requerido, tipo de ocupao, valor do contedo, localizao e altura da edificao).
160
Proteo contra interceptao ou danos, levando-se em considerao os seguintes aspectos: As linhas de fora e as linhas de telecomunicaes que entram nos equipamentos de processamento de informaes devem ser subterrneas, sempre que possvel ou ter uma proteo alternativa adequada; O cabeamento das redes deve ser protegido contra interceptao no autorizada ou danos (pelo uso de condutes ou evitando trajetos que passem por reas pblicas); Os cabos de fora devem ficar separados dos cabos de comunicaes para evitar interferncias.
Controles adicionais para cabeamento

Instalar condutes blindados e salas ou caixas trancadas em pontos de inspeo e pontos terminais; Usar rotas ou meios de transmisso alternativos; Usar cabeamento de fibras pticas; Equipar os cabos com sistemas de varredura para detectar a presena de dispositivos no autorizados.
161
3.5.3 Manuteno dos equipamentos
OBJETIVO: Manuteno correta dos equipamentos para assegurar a sua disponibilidade e integridade permanentes. Devem obedecer aos seguintes requisitos: Os equipamentos devem receber manuteno com periodicidade correta e de acordo com as especificaes do fabricante; A manuteno e os reparos do equipamento s devem ser executados por pessoal autorizado; Deve ser mantido um registro de todos os defeitos suspeitos ou reais e de toda a manuteno preventiva e corretiva executada; Devem ser adotados controles apropriados quando equipamentos saem do site para fins de manuteno; Devem ser cumpridas todas as exigncias estipuladas nas aplices de seguros.
Segurana dos equipamentos fora do site

Os equipamentos e as mdias retirados das instalaes da ELECTRA no devem ficar sem superviso em lugares pblicos; Os computadores portteis devem ser transportados como bagagem de mo e disfarados sempre que possvel, quando se viaja;
162
Devem ser observadas a qualquer tempo as instrues do fabricante para a proteo dos equipamentos como, por exemplo, contra a exposio a campos eletromagnticos intensos;
Os controles para o trabalho a domiclio devem ser determinados por uma avaliao dos riscos e adotados controles adequados conforme seja necessrio;
Deve haver uma cobertura de seguros adequada para proteger o equipamento quando fora do site;
Os riscos de segurana como danos, furto e olhares indiscretos podem variar consideravelmente entre um local e outro e devem ser levados em conta para determinar os controles mais apropriados;
O uso de qualquer equipamento fora das instalaes da ELECTRA, para fins de processamento de informaes, deve ser autorizado pela gerncia e o grau de segurana proporcionado deve ser equivalente ao do equipamento utilizado no site para os mesmos fins, levando-se em conta os riscos do trabalho fora das instalaes da ELECTRA;
O equipamento de processamento de informaes inclui todas as formas de computadores pessoais, agendas eletrnicas, equipamentos de comunicao pessoal, papel ou outros meios, que ficam na posse da pessoa para trabalho no domiclio ou que so transportados para fora do local normal de trabalho.
163
Segurana no descarte ou na reutilizao de equipamentos

As informaes podem ser comprometidas pela falta de cuidados no descarte ou na reutilizao de equipamentos; Os sistemas de armazenagem que contenham informaes sensveis devem ser destrudos fisicamente ou sobregravados de maneira segura ao invs de se usar a funo normal delete; Todos os itens de equipamento que contenham mdia de armazenagem, como, por exemplo, discos rgidos, devem ser verificados para garantir que todos dados sensveis e softwares licenciados tenham sido retirados ou sobregravados antes do descarte; No caso de dispositivos de armazenagem danificados que contenham dados sensveis, poder ser necessria uma avaliao dos riscos para determinar se o item deve ser destrudo, consertado ou descartado.
Poltica de mesa e tela vazia

Deve-se adotar poltica de mesa vazia para documentos e mdia de armazenagem removvel; Deve-se adotar poltica de tela vazia para os equipamentos de processamento de informaes, a fim de reduzir os riscos de acesso no autorizado a informaes e perda ou dano de informaes durante o horrio normal de trabalho e fora dele;
164
Deve-se levar em considerao as classificaes de segurana da informao, os riscos correspondentes e os aspectos culturais da ELECTRA;
As informaes deixadas em cima de mesas tambm podero ser danificadas ou destrudas em caso de catstrofes, como incndios, inundaes ou exploses.
3.5.4 Diretrizes de proteo
Os documentos e mdias de computador devem ser armazenados em estantes apropriadas e cofres especiais quando no estiverem em uso, principalmente fora do horrio de expediente;
Informaes empresariais sensveis ou crticas devem ficar trancadas (preferencialmente em um cofre ou arquivo a prova de fogo) quando no em uso, principalmente quando no houver ningum no escritrio;
Os computadores pessoais e terminais de computador, bem como as impressoras, no devem ficar logged-on na ausncia do operador e devem ser protegidos por bloqueios de teclas, biometria, senhas ou outros controles quando no estiverem em uso;
Os postos de correspondncia recebida e enviada e as mquinas de fax devem ser protegidos quando o operador no estiver presente;
165
As copiadoras devem ser trancadas ou protegidas de algum outro modo contra o uso no autorizado fora do horrio normal de expediente;
Informaes sensveis ou confidenciais, quando impressas, devem ser retiradas das impressoras imediatamente.
Retirada de bens
Os equipamentos, as informaes ou o software no devem sair do site sem autorizao; Quando necessrio e apropriado, a sada e a devoluo dos equipamentos devem ser registradas; Devem ser feitas inspees por amostragem para detectar a retirada noautorizada de bens; Os usurios devem ser informados da existncia de tais inspees.
3.5.5 Situao atual do Data Center em relao Segurana Fsica
Ambientes e caractersticas prediais

No caso especfico do Data Center, suas instalaes atuais compartilham o ambiente computacional com atividades de risco, presentes na rea da ELECTRA e na vizinhana.
166
Riscos externos e internos

Existem ambientes internos e externos que expem a ELECTRA a riscos de incndio, que, mesmo no atingindo a rea do Data Center, podem afetar mdias e equipamentos com seus gases txicos, exploso, desmoronamento, trepidao (obras) etc. Esses riscos so baixos, pois a vizinhana estabelecida com edifcios definitivos.
Veculos e pessoas
O prdio que abriga a ELECTRA e o seu Data Center dispe de grande rea de estacionamento em sua rea externa, que fica totalmente ocupada durante o expediente normal, devido ao expressivo nmero de pessoas que trabalham ou visitam o local e os demais edifcios prximos. Embora representado risco menor de incndio em automveis nesse estacionamento, no devem ser desconsiderados possveis prejuzos pelos gases emanados, que prejudicam mdias e equipamentos sensveis. O estacionamento interno situa-se no subsolo do prdio. Dispe de grande quantidade de vagas, grande parte delas abaixo do Data Center, representando alto risco relativamente a incndio em automveis, cujos gases podem afetar, direta ou indiretamente, os equipamentos sensveis.
Salas de escritrios
O prdio tem nove andares de escritrios. Existem vrias dependncias com papis e outros materiais combustveis e por onde transitam diariamente centenas de pessoas.
167
Vizinhana
Ao lado do prdio, localiza-se uma grande edificao comercial. Esse estabelecimento, bem como outros situados na redondeza, atraem muitos automveis e pessoas para as proximidades do Data Center da ELECTRA, configurando nesse sentido, juntamente com as outras ameaas descritas, uma vizinhana de alto risco.
Identificao visual da rea do Data Center

Embora nem todos os tcnicos da segurana da informao sejam unnimes, grande parte opina que um ambiente de processamento de dados no deve ter qualquer inscrio que o identifique.
Riscos de acesso indevido

A rea ocupada pelo Data Center no configura um permetro de segurana adequado. As barreiras e as portas so controladas por vigilantes de segurana, com controles simplificados.
As edificaes da ELECTRA
a) Estacionamentos Externo: O prdio que abriga a ELECTRA e o seu Data Center dispe de uma grande rea de estacionamento em sua rea externa, que fica totalmente ocupada durante o expediente normal, devido ao expressivo nmero de pessoas que trabalham no local e nos demais edifcios prximos.
168
Interno: situa-se no subsolo do prdio abaixo do Data Center, representando riscos relativos a incndio em automveis, cujos gases podem afetar, direta ou indiretamente, os equipamentos sensveis. b) Portarias Portaria principal: o primeiro contato com a ELECTRA realizado na portaria principal. A partir dela tem-se acesso direto aos elevadores que conduzem aos andares do prdio; A atuao das recepcionistas ou dos vigilantes da portaria uma triagem simples, na qual se solicita nome, identidade, origem, destino e outras pequenas observaes sobre o ingresso, que a partir da praticamente livre a todas s salas da ELECTRA. Data Center: atualmente o primeiro contato do visitante com o Data Center realizado na portaria situada na entrada do prprio Data Center, no 1 subsolo, onde existe um balco em forma de L, caracterizando um segundo nvel de proteo, geralmente com uma recepcionista e um vigilante (no final da tarde, normalmente com apenas um vigilante). Dispe de telefone e um computador, alm de um Registro de Visitante, documento preenchido com os dados do visitante e posteriormente arquivado por um ano na sala da segurana. Nessa portaria, possvel o controle de acesso entrada principal do Data Center, mas no o de uma outra porta que tambm pode permitir o acesso (apesar de estar predominantemente trancada), que a da sala de impresso, situada em frente ao auditrio. c) Demais dependncias
169
rea interna: paredes, portas, janelas, pisos, tetos, corredores, toaletes, elevadores, escadas internas e de emergncia, instalaes eltricas e hidrulicas: com poucas excees, o estado geral dessas edificaes no satisfatrio. As escadas de emergncia no atendem s normas de segurana e esto com os seus pilares metlicos com algum comprometimento por oxidao. As instalaes eltricas do local esto sendo revistas. Telhados: a cobertura constituda de laje de concreto armado e coberta com telhado de amianto, visando direcionar a gua das chuvas para calhas; Aparentemente, h muito tempo no se realiza uma impermeabilizao nessas coberturas, que, apesar disso, ainda apresentam bom estado de conservao; As calhas de guas pluviais esto limpas e desimpedidas, mas foi observada gua empoada na parte central da cobertura, sobre uma sala que dispe de equipamentos de monitoramento de servios de infra-estrutura;
Situao Atual especfica do Data Center

A rea do subsolo, ocupada pelo Data Center e outras salas da ELECTRA, compe-se de: Data Center: gerncia de infra-estrutura, gerncia de servio de rede corporativa, analistas, testes, suporte, banco de dados, coordenao, call center, preparo, teleprocessamento/rede, servidores, mquinas de grande porte, impresso, operao/fitas, recepo/expedio, manuteno, terceiros, reunio, copa (sem fogo) e toaletes, configurando a sua rea interna.
170
Salas de segurana, pool de mensageiros, reprografia, arquivo, laboratrio de microfilmagem e no-break tm acesso pelo corredor central da rea no crtica do Data Center. Outras salas: ainda junto rea do Data Center, porm fora da rea sensvel, situam-se o auditrio, biblioteca, videoconferncia, arquivo geral, depsito do almoxarifado, servios gerais, sala da administrao do almoxarifado etc.
Localizao
O Data Center est localizado no subsolo do prdio, cuja edificao no foi construda especificamente para abrigar um Data Center.
Edificaes
Pelas suas prprias atividades do dia-a-dia, as reas da edificao onde se situa o Data Center no configuram um permetro de segurana adequado. As barreiras e as portas controladas por vigilantes de segurana necessitam de controles compatveis com os riscos dessa rea crtica
Paredes externas
Esto em bom estado de conservao.
Paredes internas
As que circundam a rea crtica, em alvenaria, esto em bom estado de conservao.
171
Portas
Existem brechas no permetro de segurana, como por exemplo: No existem portas corta-fogo dotadas de alarme e fechamento automtico; A porta da sala de impresso permite acesso rea crtica (apesar da mesma estar predominantemente fechada); Uma portinhola (pequena abertura na parede) da sala do no-break para a sala das mquinas do ar-condicionado pode permitir acesso indevido pela sala do no-break; A porta de vidro, prxima dos elevadores, no corredor da entrada do Data Center pode permitir, no mnimo, que um curioso mal-intencionado trace um croqui da localizao dos equipamentos crticos do Data Center, para posterior intruso; O suporte de terceiros dever ter acesso restrito s reas seguras ou aos equipamentos de processamento de informaes sensveis e somente quando necessrio; Todos os itens citados constituem, direta ou indiretamente, brechas na segurana para penetrao de intrusos ou para gases, fumaa, fogo, gua, poeira etc.
172
Divisrias internas
So constitudas de frmica e vidro, que so materiais no resistentes ao fogo. No so fechadas de laje a laje, o que facilita o acesso indevido sob as placas do piso elevado e tambm no impedem penetrao de fogo ou gases de salas vizinhas.
A porta principal de entrada do Data Center

Est localizada prxima aos vigilantes e recepcionistas da portaria do Data Center. Entretanto, oportuno lembrar que a vigilncia nesse posto, em alguns perodos do final da tarde, estava constituda de apenas um vigilante, o que no suficiente para o correto controle de acesso;
Portas internas
So extenses das divisrias e, portanto, frgeis. Na rea sensvel, no so mantidas trancadas e nem dispem de acesso somente ao pessoal autorizado. As que esto junto com as divisrias sobre todo o piso elevado necessitam que, abaixo e acima delas, haja o mesmo cuidado sugerido para as divisrias; A porta da entrada do Data Center, que tambm pode ser improvisada como sada de emergncia, d para o corredor externo rea crtica e nesse h facilidade de evacuao. Entretanto, os corredores internos de circulao das salas da rea crtica so muito apertados, o que certamente dificultaria uma evacuao de pessoal em caso de emergncia.
173
Instalaes eltricas
A rede, o quadro de fora do subsolo e as instalaes eltricas que servem ao Data Center apresentam bom estado de conservao e so adequadas.
No-break
O no-break, apesar de ser um modelo antigo, tem atendido ao Data Center. Todavia, em caso de interrupo de fornecimento de energia por perodos mais longos, haver necessidade de se contar com um grupo gerador, principalmente para atender climatizao da sala de segurana que a ELECTRA planeja instalar para o Data Center;
Cabeamento Lgico
No existem sistemas de varredura no cabeamento para detectar a presena de dispositivos no autorizados; O cabeamento, sob o piso elevado, no est adequadamente disposto. H cabos lgicos misturados com eltricos, o que pode causar interferncias.
Instalaes hidrulicas e infiltraes

No h problemas de abastecimento e esgotamento de guas servidas. Foi realizada uma reparao de infiltrao em um tubo localizado sobre a sala de rede, gerando preocupaes a respeito de outras possveis infiltraes sobre a rea sensvel do Data Center.
174
Combate a incndio
Existe, entre os que prestam servios no Data Center, a preocupao em atender s normas de segurana, como um todo, mas uma das principais, relativa solicitao para no fumar no ambiente, no est sendo observada; Foram encontradas pontas de cigarro em muitas latas de lixo e uma ponta de cigarro sob o piso elevado; Existem hidrantes nos corredores externos, que tm recebido manuteno peridica; As mangueiras esto corretamente desenroscadas do tubo, mas devem ser dotadas de bico regulvel e estarem dimensionadas de forma a alcanar todos os ambientes existentes; Os extintores de incndio so adequados, de fcil acesso, mas nem sempre se encontram nos lugares demarcados; O piso elevado composto de material que propaga chamas; As cestas de lixo so convencionais e sem tampa, inclusive as maiores, das salas de impresso, que so usadas para recolher papis; No constatamos armazenamento, no almoxarifado, no mesmo ambiente, de lquidos inflamveis e papis; Existem painis de controle de incndio e quadros apropriados de fora;
175
Existem detectores convencionais de fumaa na rea sensvel, mas no piso no h sinalizao da localizao dos mesmos;
No existem sensores de umidade e temperatura; Existem quadros de controle para detectar fumaa e fogo, mas esto desatualizados;
No existe alarme de incndio que toque na vigilncia; No existe um sistema de alarme para evacuao; No existe combate automtico de incndio com gs especfico; No existe uma brigada de incndio adequada no prdio.
Climatizao
As instalaes de ar-condicionado esto em bom estado de conservao. Segundo os funcionrios da ELECTRA que fazem a sua manuteno, o sistema est funcionando com folga. H um pleno, que lana o ar diretamente sob o piso elevado e dutos para as demais salas; O equipamento de ar-condicionado que serve ao Data Center dotado de oito mquinas. Normalmente, redundantes; H necessidade de uma reviso no insuflamento do ar-condicionado para algumas salas do Data Center, que estavam com temperatura elevada, quatro funcionam e quatro so
176
gerando reclamao de alguns funcionrios e possibilitando paradas nos equipamentos; Foi tambm constatado que a torre, externa, de resfriamento ser reformada e que os filtros de gua so lavados quinzenalmente. Os equipamentos esto instalados em compartimento fechado, com acesso somente ao pessoal autorizado, mas localizam-se do lado de fora, carecendo de maior proteo;
Controle de Acesso
O controle de acesso de funcionrios realizado por meio de carto magntico, que no tem a finalidade de segregar o acesso a reas de outras funes, principalmente no Data Center. Atualmente, qualquer pessoa, visitante ou funcionrio, no ter maiores dificuldades de entrar em dependncias da ELECTRA, caracterizando um grande risco para a segurana, pois as reas deveriam ser protegidas com grau de permisso de acesso. No h circuito fechado de televiso (CFTV), mas existe projeto para esse coadjuvante da segurana predial.
Manuteno e limpeza de instalaes e equipamentos

Existe cuidado com a limpeza e com a manuteno das instalaes e equipamentos. Entretanto, as condies de limpeza sob o piso elevado no estavam boas;
177
Constatamos, em anlise nos sacos de lixo do Data Center, e em lixeiras do arquivo, documentos importantes, misturados a lixo comum, que seriam descartados na lixeira geral do prdio.
3.5.6 Recomendaes de Segurana Fsica do Data Center
3.5.6.1 Recomendaes especficas da ELECTRA
Ambientes e caractersticas prediais da ELECTRA

Portaria central Deve-se modificar a portaria principal, de forma que todo visitante obrigatoriamente tenha que passar por uma triagem nela; Deve haver recepcionistas e pessoal de segurana em nmero suficiente para atender a demanda de pessoas recebidas, em todos os horrios, dentro e fora do expediente normal; O controle de acesso deve ser mais rigoroso que o atual, com comparao da identidade e o seu dono e no apenas com a anotao do nmero do documento; Devem ser anotados os horrios de entrada e sada do visitante;
178
Devem haver catracas com controle de acesso; Deve-se manter em segurana uma trilha de auditoria contendo todas os acessos ocorridos, com gravao remota on-line.
Uso de Crachs Deve ser obrigatrio, no somente para se evitar o acesso indevido, mas em qualquer situao, o uso de cartes com PIN ou crachs por qualquer pessoa que esteja transitando no interior da ELECTRA; Deve tambm ser obrigatrio que todos os funcionrios, sem exceo, portem carto de identificao ou crach, em local visvel e que sejam incentivados a informar segurana sobre a presena de qualquer pessoa no identificada ou de qualquer estranho no acompanhado. Circuito fechado de TV Todas as portarias, salas, corredores, escadas, entradas e sadas, passagens, estacionamentos, reas de carga e descarga e principalmente os demais pontos crticos de toda a ELECTRA devem ser monitorados por CFTV, com avisos claros, visando desestimular eventuais intrusos; O CFTV deve possuir tecnologia de modo que as informaes sejam monitoradas e gravadas remotamente; Devem-se utilizar monitores vigiados em sistema multiplexador numa sala da segurana, bem como gravar as suas imagens em time lapse. Esse equipamento deve ser mantido trancado em local seguro, com porta dotada de controle de acesso, a fim de se evitar extravio de fitas;
179
Convm que o cabeamento do CFTV seja protegido contra cortes, intencionais o ou acidentais.
Demais dependncias Janelas do 1 andar: recomendvel que sejam reforadas, j que podem permitir acesso indevido; Escadas de emergncia: No atendem s normas de segurana; so enclausuradas e sem corrimos.
3.5.6.2 Recomendaes especficas do Data Center
Segurana Mxima
A literatura da segurana da informao define a disposio fsica ideal dos Data Center, orientando que as instalaes mais sensveis sejam localizadas no centro, e as demais, de acordo com a sensibilidade, dispostas do centro para fora, configurando camadas concntricas de segurana. Dentre diversos aspectos, solues tcnicas pertinentes so agregadas para fornecimento de energia, gua e esgoto, climatizao, combate a incndios e detalhes muitas vezes desprezados em edificaes comuns, como a escolha de material de acabamento resistente e retardante ao fogo. Em funo do exposto acima e levando-se em considerao que a edificao que abriga o Data Center no especfica para essa finalidade e principalmente pela
180
vizinhana de alto risco, convm que todas as recomendaes expostas nesta anlise sejam consideradas e implementadas no mais curto prazo possvel.
Identificao Visual
Num centro de processamento de dados, sempre se deve considerar ao mximo o item segurana. Quanto mais discreta for a programao visual do prdio, menos interesse despertar. As identificaes devem se limitar a informar sobre as direes a serem tomadas, avisar sobre locais de acesso restrito e indicar as sadas de emergncia. Existem autores que chegam a defender o conceito de que um rgo sensvel como um Data Center no deve ter qualquer identificao, nem mesmo das salas e departamentos. Convm que seja retirada qualquer identificao relativa ao Data Center. O propsito dificultar a ao de pessoas mal intencionadas; Devem estar publicados em local visvel os procedimentos quando da ocorrncia de um incidente, assim como, os telefones das reas de suporte e emergncia.
Brechas no permetro de segurana

Eliminar a porta da sala de impresso; A entrada para entrega/recepo de documentos deve ser realizada pela entrada do Data Center, local em que deve receber um controle de acesso;
181
Portinhola (pequena abertura na parede) da sala do no-break para a sala das mquinas do ar-condicionado deve ser fechada por uma porta, a qual deve ser do tipo grelha para permitir ventilao rea do no-break;
A porta do corredor de circulao do Data Center deve ser substituda por uma porta metlica, dotada de alarme sonoro e tranca interna, para que sirva como uma sada de emergncia. A finalidade da estrutura metlica, em substituio ao vidro atual, tambm impedir que intrusos tenham viso panormica da rea sensvel do Data Center, que hoje possvel;
Observao: Os itens citados acima constituem, direta ou indiretamente, brechas na segurana para penetrao de intrusos ou para gases, fumaa, fogo, poeira, radiao etc.
Controle de acesso e procedimentos

Deve ser instalada uma porta com controle de acesso na atual entrada do Data Center, limitando o acesso indevido; Dotar de alarme sonoro ligado permanentemente, as reas no ocupadas, internas ou externas ao Data Center; necessrio que os cabos lgicos sejam dotados de sistemas de varredura automtica para evitar intrusos no sistema; Orientar os vigilantes a no prestar quaisquer informaes sobre as atividades do Data Center e que apenas encaminhem os interessados, aps identific-los, para a
182
recepo interna e que estejam atentos e informem imediatamente vigilncia interna ou central de segurana qualquer atitude ou pessoa suspeita nas imediaes.
Controle de Acesso
Que o contato inicial com o Data Center disponha de uma portaria mais abrangente para um rgido controle de acesso, no qual possa ser efetuada melhor triagem dos visitantes, com guardas masculinos e femininos em estreita colaborao. O controle de acesso fsico tem por objetivo a segurana de acesso a reas delimitadas, salas de computadores e de arquivos, centrais de instalaes e demais equipamentos; necessrio que, na triagem se confiram a identidade e o seu dono e no apenas se pergunte o nmero do documento. E que sejam tambm registradas data e hora de entrada e sada; Usar controles de autenticao, como por exemplo, cartes com PIN (nmero de identificao pessoal ou Personal Identification Number), que permitem validar qualquer acesso; Instalar cancelas com catracas com controle de acesso; Manter em segurana uma trilha de auditoria contendo todos os acessos ocorridos, com gravao remota on-line.
183
Uso de Crachs
Deve ser obrigatrio, no somente para se evitar o acesso indevido, mas em qualquer situao, o uso de cartes com PIN ou crachs por qualquer pessoa que esteja transitando no interior das instalaes crticas; Todos os funcionrios, sem exceo, dever portar carto de identificao ou crach, em local visvel e que sejam incentivados a informar segurana sobre a presena de qualquer pessoa no identificada ou de qualquer estranho no acompanhado.
Entrada de Objetos Estranhos

Em princpio, dever ser deixados na portaria, em depsitos com chaves, as malas, maletas, bolsas, embrulhos, pacotes, caixas, aparelhos de comunicao pessoal, dispositivos eletrnicos de qualquer espcie etc, portados por pessoas que necessitem entrar na rea do Data Center; Deve-se informar ao portador dos objetos descritos acima, que se for necessria entrada do objeto consigo, ele dever aceitar uma inspeo dos mesmos. Da, a necessidade de guardas femininas para a vistoria em pertences em pessoas do mesmo sexo; No se pode descartar a idia de que algum, com intenes estranhas, tenha interesse em colocar um artefato explosivo ou equipamento eletrnico para roubar informaes em alguma dependncia do Data Center;
184
Proibir a entrada de mquinas fotogrficas, filmadoras e controlar o acesso de alimentos e bebidas;
Rever, periodicamente, os direitos de acesso.
Guaritas de vigilncia
Estudar, a instalao de pelo menos uma guarita de vigilncia, discreta, situada no vrtice do trreo. A finalidade obter uma viso ampla das duas laterais vulnerveis da rea externa do Data Center; Essa vigilncia deve ser exercida principalmente nos horrios fora do expediente. Dever ser auxiliada por sensores de presena com alarme sonoro e complementadas com um bom sistema de iluminao de todo o permetro externo, com holofotes dotados de foco dirigido de dentro para fora, a fim de no ofuscar os guardas e para atrapalhar a viso de possvel invasor; No interior do prdio, na rea externa rea crtica, tambm deve haver vigilncia, principalmente nos horrios fora do expediente.
Circuito Fechado de TV
Recomenda-se que todas as portarias, salas, corredores, escadas, entradas e sadas, passagens, estacionamentos, reas de carga e descarga e principalmente os demais pontos crticos de todo o Data Center devem ser monitorados por CFTV, com avisos pertinentes, visando desestimular eventuais intrusos;
185
Recomenda-se que o CFTV possua tecnologia que permite que as informaes sejam monitoradas e gravadas remotamente via TCP/IP;
Utilizar monitores vigiados em sistema multiplexador pelos guardas de segurana, de preferncia na sala da segurana. Gravar as suas imagens em time lapse, cujo equipamento deve trancado em local seguro, com porta dotada de controle de acesso, a fim de se evitar extravio de fitas, com alta disponibilidade, isto , dotado de equipamentos redundantes;
Recomenda-se que o cabeamento do CFTV seja protegido contra cortes, intencionais o ou acidentais.
Cuidados com documentos impressos, mdias e instalaes de processamento de informaes

Recomenda-se elaborar uma rgida triagem em documentos a serem descartados, a fim de que no se disponha em caixas de lixo documentos que podem despertar algum interesse; Os documentos julgados como no teis devem ser fragmentados e ento descartados; Recomenda-se que seja adquirido um fragmentador, a fim de que todo o lixo de papel com informaes seja devidamente fragmentado antes da disposio final na lixeira do prdio;
186
Adotar poltica de mesa vazia e tela vazia para reduzir o risco de acesso no autorizado ou danos a documentos, mdias e instalaes de processamento de informaes.
Piso Elevado
Substituir todo o piso elevado da rea do Data Center em funo do piso atual estar desnivelado colocando em risco o desempenho dos equipamentos e os operadores, em mal estado devido ao tempo de uso e principalmente por ser de material que propaga chamas.
Incndio
Instalar equipamentos de deteco precoce de incndio. Os existentes na ELECTRA, devido a sua tecnologia ultrapassada, s atuam quando se tem fumaa. Os equipamentos a laser atuam pelas partculas suspensas no ar. Instalar combate automtico de incndio com Gs FM 200 (este gs mantido em cilindros, sob presso como um lquido, que minimiza o espao de armazenagem, e liberado como um gs, de modo a cobrir todos os pontos da rea protegida. O FM200 suprime o fogo em at 10 segundos, impedindo a reao qumica que nele ocorre. O FM-200 adequado para aplicaes em reas ocupadas por seres humanos, nas concentraes aprovadas pela NFPA-2001. Por ser to seguro para as pessoas, est sendo utilizado como propulsor em inaladores mdicos) interligado ao equipamento de deteco de incndio.
187
Implantao de sala de segurana (Sala-Cofre)

Convm que seja adquirida uma sala de segurana (sala-cofre) que a melhor soluo para uma segurana eficaz dos equipamentos sensveis e mdias, considerando-se principalmente o alto risco da vizinhana e pelo fato da ELECTRA no possuir um site alternativo para caso de contingncia. A sala-cofre conceder ELECTRA proteo contra ameaas como: fogo, exploso, magnetismo, radiao, calor, vandalismo, acesso indevido, poeira, gases corrosivos, roubo, furto, etc, permitindo a continuidade do negcio, em caso de um incidente e preservando todo o alto investimento em hardware e software. A sala-cofre pode seguir a sugesto de localizao apresentada no disponvel no APNDICE A. Com o devido estudo relativo aos esforos de sobrecarga na estrutura, bem como ser executado um anteprojeto das instalaes, em funo da rea da sala a ser adquirida.
Cofres
Recomenda-se a aquisio de cofres especficos para armazenamento de dados para proteo das mdias contra fogo, poeira, gases corrosivos, campos eletromagnticos, radiaes, furto etc;
Aquisio de pacote de solues para o arquivo geral

O arquivo geral, situado no subsolo, na rea prxima ao Data Center, necessita uma abordagem completa para as suas necessidades de espao para arquivamento e segurana ambiental.
188
Na situao atual convm que se instale controle de acesso na porta principal, detector de incndio e combate automtico, bem como monitorao de temperatura e desumidificao do ambiente e principalmente que se desenvolva uma classificao de todas as informaes que saem da ELECTRA para a empresa terceirizada de guarda de documentos.
Videoconferncia
Existe a necessidade de se investir tambm em equipamentos de deteco de incndio no piso elevado.
Instalaes eltricas e lgicas

Prover o Data Center de um grupo gerador, cuja necessidade justificada pelo fato de que o no-break, mesmo cumprindo a sua funo, no capaz de suprir o Data Center em faltas prolongadas de energia; A Norma NBR ISO/IEC 17799 orienta sobre testes regulares do equipamento para assegurar que ele tenha a capacidade adequada e seja testado de acordo com as recomendaes do fabricante; Recomenda-se instalar cabos com sistemas de varredura para detectar a presena de dispositivos no autorizados; Recomenda-se dispor adequadamente o cabeamento sob o piso elevado, devido ao fato de que existem cabos de lgica misturados com cabos eltricos, que podem causar interferncias.
189
Riscos de incndio
Proibir terminantemente fumar no interior do Data Center. notrio o cheiro de fumaa de cigarro na sua rea interna, logo que se passa pela porta principal, no incio do corredor. Foi constatado que sempre h muitas pontas de cigarro nas lixeiras das salas; Promover uma conscientizao do pblico interno sobre a total incompatibilidade entre cigarros ou similares e o ambiente
computacional, no somente pelo risco de incndio, mas porque a fumaa prejudica mdias e equipamentos; Substituir cestas de lixo atuais existentes nas salas do Data Center por metlicas e com tampa, bem como substituir por containeres metlicos com tampa as caixas atualmente usadas para juntar grande quantidade de papel na sala de impresso; Criar um novo layout para a circulao entre as salas internas. Tal medida deve permitir corredores mais amplos e at mesmo melhor disposio das salas, visando a sada de emergncia sugerida, que a porta principal do Data Center, saindo para a rea dos elevadores; No armazenar, no mesmo andar do Data Center, os suprimentos, tais como papis, materiais de consumo etc; Orientar aos faxineiros para terem todo o cuidado com o uso de gua e outros produtos lquidos de limpeza no piso elevado e nos equipamentos;
190
Providenciar recarga de extintores de incndio, sempre que necessrio, com o cuidado na contratar firma idnea e solicitar que a recarga seja realizada na presena de um funcionrio da ELECTRA.
Climatizao
Ligar os compressores do ar-condicionado conforme recomendaes tcnicas, mantendo os aparelhos redundantes em condies de operao; Realizar testes peridicos; Substituir, na sala do banco de dados, se for mantido o piso elevado atual, duas placas fechadas de piso por placas perfuradas, a fim de melhorar o insuflamento do ar no ambiente; Reformar a torre de resfriamento e limpar/trocar os filtros de gua no prazo recomendado pelo fabricante, como est sendo realizado atualmente; Vistoriar, periodicamente, as torres de resfriamento, que se encontram instaladas em rea externa. Diferentemente dos equipamentos do ar, que esto instalados em compartimento fechado, com acesso somente ao pessoal autorizado, pois as torres necessitam maior proteo.
Acondicionamento das mdias

Analisamos o acondicionamento das mdias em toda a rea do Data Center e realizamos tambm uma visita ao backup. Recomenda-se para ambos:
191
Manter a porta da sala de mdias fechada e instalar controle de acesso; Adquirir cofres de proteo de mdias; Adquirir equipamento apropriado para transporte das mdias.
Anlise dos equipamentos de rede distribudos

Foram analisados os equipamentos de teleprocessamento (TP), switches, routers, modems, cabeamento, climatizao, controle de acesso e condies de limpeza das salas, com as seguintes observaes: Cabeamento desorganizado; Sem climatizao; Sem controle de acesso; Necessita melhor limpeza e arrumao; Risco de incndio e de acesso indevido.
3.5.7 Plano de Ao
Geral
Implementar as alteraes sugeridas no layout disponvel no APNDICE A;
192
Estudar a implantao de sala de segurana (sala-cofre); Instalar cofre para guarda de mdias; Instalar CFTV em pontos estratgicos; Proibir fumar no Data Center; Instalar deteco precoce de incndio com combate automtico de gs FM 200;
Instalar equipamento de monitorao remota da rede; Instalar controle de acesso em salas de ambientes alta criticidade; Instalar grupo gerador;
reas Seguras (corresponde ao item 1 do questionrio - APNDICE B)

As reas crticas ou sensveis da empresa devem estar localizadas em reas seguras; Devem estar protegidas por um permetro de segurana definido, com barreiras de segurana e controles de entrada apropriados; Devem estar protegidas fisicamente contra acesso no autorizado, danos e interferncia; O grau de proteo deve ser proporcional aos riscos identificados;
193
Deve existir poltica de mesa vazia e tela vazia para reduzir o risco de acesso no autorizado ou danos a documentos, mdia e instalaes de processamento de informaes.
Permetro de Segurana (corresponde ao item 2 do questionrio APNDICE B)

Deve existir proteo fsica com barreiras fsicas em volta das instalaes da empresa e dos equipamentos de processamento de informaes; As barreiras devem estabelecer um permetro de segurana correto para aumentar a proteo total oferecida; Devem ser utilizados permetros de segurana para proteger as reas que contm equipamentos de processamento de informaes; Devem existir barreiras, paredes, portes de entrada controlados por carto ou uma mesa com recepcionista, que constituam um permetro de segurana; O permetro do edifcio e site que contm reas crticas deve ser fisicamente slido; No devem deve existir brechas no permetro ou reas que permitam uma penetrao fcil; As paredes externas devem ser de construo slida;
194
As portas externas devem ser devidamente protegidas contra o acesso no autorizado, com mecanismos de controle, barras, alarmes, fechaduras etc;
Deve existir uma rea de recepo com pessoal ou outro meio de controle do acesso fsico ao site ou ao edifcio;
Somente pessoal autorizado poder ter acesso aos sites e edifcios; As barreiras fsicas devem ser estendidas do piso bruto ao teto bruto, para impedir o acesso no autorizado e contaminao ambiental;
Devem existir portas corta-fogo no permetro de segurana e elas devem ser equipadas com alarme e fechar automaticamente.
Controles fsicos de entrada (corresponde ao item 3 do questionrio APNDICE B)

As reas seguras devem ser protegidas por controles de entrada apropriados; As trilhas de auditoria de todos os acessos devem ser guardadas em local seguro; Os direitos de acesso a reas seguras devem ser revistos e atualizados regularmente.
195
Proteo das instalaes (corresponde ao item 4 do questionrio APNDICE B)

Para a proteo das instalaes, deve existir a preocupao de rea segura (ex.: salas trancadas ou vrias salas dentro de um permetro fsico de segurana, que podem ser trancadas e que disponham de arquivos de ao trancveis ou cofres); A escolha e o projeto de uma rea segura deve levar em conta a possibilidade de danos causados pelos riscos ou vulnerabilidades; Devem ser levados em conta os regulamentos e normas relevantes de sade e segurana; Devem ser levadas em considerao eventuais ameaas segurana causadas por instalaes vizinhas, como infiltraes, vazamento de gua proveniente de outra rea etc.
Controle (corresponde ao item 5 do questionrio - APNDICE B)

Os equipamentos crticos devem estar em local no acessvel ao pblico; O prdio deve ser discreto e indicar o mnimo possvel a sua finalidade, sem sinais visveis, dentro ou fora do edifcio, que identifiquem a presena de atividades de processamento de informaes; Funes e equipamentos de suporte (fotocopiadoras e fax) ficam num local apropriado dentro da rea segura, para evitar pedidos de acesso que poderiam comprometer as informaes;
196
As portas e janelas ficam trancadas quando no h ningum presente; Devem ser implementados sistemas apropriados de deteco de intrusos, instalados segundo padres profissionais e testados regularmente, para cobrir todas as portas externas e as janelas acessveis;
As
reas
no
ocupadas
devem
dispor
de
alarme
armado
permanentemente; Equipamentos administrados pela organizao devem ficar fisicamente separados dos equipamentos administrados por terceiros; As listas de pessoal e listas telefnicas internas que identificam a localizao dos equipamentos de processamento de informaes sensveis no podem ficar em local acessvel ao pblico.
O trabalho em reas seguras (corresponde ao item 6 do questionrio APNDICE B)

Devem existir controles e diretrizes adicionais para aumentar a segurana de uma rea sensvel; Devem existir controles para o pessoal e/ou para terceiros que trabalham dentro da rea segura; O pessoal s deve sabe da existncia de uma rea segura e das atividades nela executadas numa base de necessidade de saber;
197
Deve ser evitado o trabalho no supervisionado em reas seguras, tanto por motivos de segurana como para no dar oportunidade a atividades mal-intencionadas.
Isolamento das reas de entregas e de carregamento (corresponde ao item 7 do questionrio - APNDICE B)

As reas de entregas e de carregamento devem ser controladas e isoladas dos equipamentos de processamento de informaes, a fim de evitar o acesso no autorizado; Os requisitos de segurana para tais reas devem ser determinados por uma avaliao dos riscos; O acesso a uma rea de armazenagem provisria, a partir do exterior de um edifcio, deve ser restrito a pessoal identificado e autorizado; A rea de armazenagem provisria deve ser projetada de tal maneira que os suprimentos possam ser descarregados sem que o pessoal de entrega tenha acesso a outras partes do edifcio; As portas externas da rea de armazenagem provisria devem permanecer trancadas enquanto a porta interna estiver aberta; O material recebido deve ser inspecionado para detectar eventuais perigos antes de ser transportado da rea de armazenagem provisria para o local de utilizao; O material recebido deve ser registrado ao entrar no site.
198
Segurana do Equipamento (corresponde ao item 8 do questionrio APNDICE B)

Os equipamentos devem ser protegidos fisicamente contra as ameaas sua segurana e os perigos ambientais; Devem ser levados em conta a localizao e disposio dos equipamentos; Devem existir controles especiais para proteo contra perigos ou acesso no autorizado e para preservar os equipamentos de apoio, como o suprimento de corrente e a infra-estrutura de cabeamento.
Localizao e proteo dos equipamentos (corresponde ao item 9 do questionrio - APNDICE B)

Os equipamentos devem ser localizados ou protegidos de modo a reduzir o risco das ameaas e perigos do meio-ambiente e as oportunidades de acesso no autorizado; Os equipamentos devem ser localizados de modo a minimizar o acesso desnecessrio s reas de trabalho; Os equipamentos de processamento e armazenamento de informaes que manuseiam dados sensveis devem ser posicionados de modo a minimizar o risco de olhares indiscretos durante o uso; Os itens que requerem proteo especial devem ser isolados a fim de reduzir o nvel geral de proteo necessrio;
199
Devem ser adotados controles para minimizar o risco de ameaas potenciais, incluindo furto, incndio, explosivos, fumaa, gua (falha no abastecimento), poeira, vibrao, efeitos qumicos, interferncia no suprimento de fora, radiao eletro-magntica;
Devem ser levados em conta o impacto de um acidente em instalaes prximas, como por exemplo um incndio no prdio vizinho, vazamento de gua do telhado ou em pavimentos do subsolo ou uma exploso na rua.
Suprimento de energia eltrica (corresponde ao item 10 do questionrio - APNDICE B)

Deve existir suprimento adequado de eletricidade que atenda s especificaes do fabricante dos equipamentos; Devem existir fontes alternativas de gerao de energia; Devem existir mltiplas fontes de alimentao para evitar que o suprimento dependa de uma nica fonte; Deve existir suprimento de energia prova de interrupes (UPS = sistema no-break); Deve existir gerador de backup; Deve existir um suprimento prova de interrupes (UPS/no-break) para suportar a parada ordenada ou a continuao da operao, no caso de equipamentos que suportam operaes crticas para a empresa;
200
Deve existir planejamento de contingncia indicando as providncias a tomar em caso de falha do UPS;
Devem ser realizados testes regulares dos equipamentos para assegurar que ele tenha a capacidade adequada;
Os equipamentos devem ser testados de acordo com as recomendaes do fabricante.
Bancada de baterias, risco de exploso e falha do equipamento (corresponde ao item 11 do questionrio - APNDICE B)
Deve ser providenciado um gerador de backup para que o processamento continue em caso de uma falta de fora prolongada.
Estocagem do leo diesel e manuteno da sua qualidade, muretas de conteno (corresponde ao item 11.2 do questionrio - APNDICE B)
Os geradores devem ser testados regularmente de acordo com as instrues do fabricante; Deve existir suprimento adequado de combustvel para assegurar que o gerador possa operar durante um perodo prolongado; As chaves de fora de emergncia devem estar localizadas perto das sadas de emergncia das salas de equipamentos; Deve existir iluminao de emergncia para o caso de falta de fora; O prdio deve ser equipado com pra-raios;
201
Devem existir filtros de proteo contra raios em todas as linhas externas de comunicaes;
Deve existir Gaiola de Faraday e pra-raio Franklin.
Segurana do cabeamento (corresponde ao item 12 do questionrio APNDICE B)

As linhas de fora e as linhas de telecomunicaes que entram nos equipamentos de processamento de informaes devem ser subterrneas sempre que possvel e ter proteo alternativa adequada; O cabeamento das redes deve ser protegido contra interceptao no autorizada ou danos (pelo uso de condutes ou evitando trajetos que passem por reas pblicas); Os cabos de fora devem ficar separados dos cabos de comunicaes para evitar interferncias; Deve existir condutes blindados e salas ou caixas trancadas em pontos de inspeo e pontos terminais; Deve ser feito o uso de rotas ou meios de transmisso alternativos; Deve ser feito o uso de cabeamento de fibras pticas; Devem existir cabos com sistemas de varredura para detectar a presena de dispositivos no autorizados.
202
Manuteno
dos
equipamentos
(corresponde
ao
item
13
do
questionrio - APNDICE B)
Os equipamentos devem receber manuteno correta para assegurar sua disponibilidade e integridade permanente; Os equipamentos devem receber manuteno com a periodicidade e de acordo com as especificaes recomendadas pelo fabricante; A manuteno e os reparos do equipamento somente devem ser executados por pessoal de manuteno autorizado; Deve ser mantido um registro de todos os defeitos suspeitos ou reais e de toda a manuteno preventiva e corretiva executada; Devem ser adotados controles apropriados quando equipamentos saem do site para fins de manuteno; Devem ser cumpridas todas as exigncias estipuladas nas aplices de seguros.
Segurana dos equipamentos fora das instalaes (corresponde ao item 14 do questionrio - APNDICE B)
O uso de qualquer equipamento fora das instalaes da organizao, para fins de processamento de informaes, precisar ser autorizado pela gerncia anteriormente;
203
O grau de segurana proporcionado deve ser equivalente ao do equipamento utilizado no site para os mesmos fins, levando em conta os riscos do trabalho fora das instalaes da organizao;
O equipamento de processamento de informaes (todas as formas de computadores pessoais, agendas eletrnicas, telefones celulares, papel ou outros meios) que ficam na posse da pessoa para trabalho a domiclio ou que devem ser transportados para fora do local normal de trabalho devem ter procedimento de segurana;
Os equipamentos e as mdias retirados das instalaes da organizao devem ter superviso em lugares pblicos;
Os computadores portteis devem ser transportados como bagagem de mo e disfarados sempre que possvel;
Devem ser observadas a qualquer tempo as instrues do fabricante para a proteo dos equipamentos (ex.: proteo contra a exposio a campos eletromagnticos intensos);
Os controles para o trabalho a domiclio devem ser determinados por uma avaliao dos riscos, e devem ser adotados controles adequados conforme necessrio (ex.: arquivos de ao trancados, poltica de mesa vazia e controles de acesso a computadores);
Deve existir uma cobertura de seguros adequada para proteger o equipamento quando fora do site.
204
Segurana
no
descarte
ou
na
reutilizao
de
equipamentos

Devem existir cuidados no descarte ou na reutilizao de equipamentos; Sistemas de armazenagem que contenham informaes sensveis devem ser destrudos fisicamente ou sobregravados de maneira segura ao invs de se usar a funo normal delete; Todos os itens de equipamento que contenham mdia de armazenagem, como, por exemplo, discos rgidos, devem ser verificados para garantir que todos dados sensveis e softwares licenciados tenham sido retirados ou sobregravados antes do descarte; No caso de dispositivos de armazenagem danificados que contenham dados sensveis, deve existir uma avaliao dos riscos para determinar se o item deve ser destrudo, consertado ou descartado.
Controles gerais (corresponde ao item 16 do questionrio - APNDICE B)

Devem existir medidas para impedir o comprometimento ou furto de informaes e de equipamentos de processamento de informaes; Devem ser implementados controles para minimizar a perda ou o dano a informaes.
205
Poltica de mesa vazia e tela vazia (corresponde ao item 17 do questionrio - APNDICE B)

A organizao deve adotar poltica de mesa vazia para documentos e mdia de armazenagem removveis; Deve ser adotada poltica de tela vazia para os equipamento de processamento de informaes, a fim de reduzir os riscos de acesso no autorizado a informaes e de perda ou dano s informaes durante o horrio normal de trabalho e fora dele; Devem ser levadas em considerao as classificaes de segurana da informao, os riscos correspondentes e os aspectos culturais da organizao; Deve ser tomado cuidado para que informaes no sejam deixadas em cima de mesas, podendo ser danificadas ou destrudas em caso de catstrofes, como incndios, inundaes ou exploses.
Diretrizes de proteo (corresponde ao item 18 do questionrio APNDICE B)

Os documentos e mdia de computador devem ser armazenados em estantes apropriadas e trancadas em outras formas de moblia de segurana, quando no estiverem em uso, principalmente fora do horrio de expediente;
206
Informaes empresariais sensveis ou crticas devem ficar trancadas (preferivelmente em um cofre ou arquivo prova de fogo) quando no em uso, principalmente quando no houver ningum no escritrio;
Os postos de correspondncia recebida e enviada e as mquinas de fax e telex sem a presena do operador devem ser protegidos;
As copiadoras devem ser trancadas (ou protegidas de algum outro modo contra o uso no autorizado) fora do horrio normal de expediente;
Informaes sensveis ou confidenciais, quando impressas, devem ser retiradas das impressoras imediatamente.
Equipamentos de preveno e combate a incndios (corresponde ao item 20 do questionrio - APNDICE B)

Os equipamentos e os materiais de combate devem ser compatveis com o ambiente; Deve existir contingncia.
Localizao dos equipamentos de combate a incndios (corresponde ao item 21 do questionrio - APNDICE B)

A localizao deve ser adequada e o acesso livre; Deve ser conferida a validade das cargas; As portas de incndio devem possuir possuem sensores e alarmes e mola para fechamento automtico;
207
Devem existir detectores de fumaa sob o piso falso e no teto.
Distncia de equipamentos, produtos ou locais crticos (corresponde ao item 22 do questionrio - APNDICE B)

Os equipamentos devem estar distantes das linhas de transmisso de alta voltagem; A remoo de lixo deve ser diria; Devem existir procedimentos relacionados com papis (isolamento, controle de acesso, proibio de fumar etc.); Periodicamente deve ser verificada a necessidade de efetuar dedetizao e desratizao; As cestas de lixo devem ser de metal com tampa com objetivo de abafar princpios de incndio; Os quadros de conexes telefnicas devem ser trancados para haja acesso somente quando permitido ao pessoal autorizado.
Condies gerais de segurana da edificao (corresponde ao item 23 do questionrio - APNDICE B)

As paredes internas devem ser de alvenaria at o teto; Deve existir vedao de passagens com portas corta-fogo; As paredes externas devem impedir a propagao de incndios;
208
Deve existir vedao de passagens para outros recintos ou andares (dutos de ar-condicionado, cabos, monta-carga etc.);
O edifcio que abriga o Data Center deveria ser construdo com material retardante e resistente ao fogo;
Os detectores de fumaa devem ser mantidos e testados de forma programada;
Deve existir sensor de temperatura e umidade do ar; Devem existir quadros de controle pare detectar rapidamente e localizar fogo e fumaa;
As placas do piso falso devem ser facilmente removveis para permitir verificao de fogo e fumaa;
Os extintores devem estar distribudos estrategicamente em locais visveis e destacados;
O alarme de incndio deve tocar na vigilncia; Devem existir hidrantes instalados em locais estratgicos nos andares dos prdios;
Esses hidrantes e seus equipamentos auxiliares devem ser testados regularmente;
Havendo necessidade, os carros do Corpo de Bombeiros devem ter acesso fcil a qualquer lado do prdio;
209
As placas do piso falso devem ser de material retardante; Deve existir reserva tcnica de gua para hidrantes; Devem existir plantas de localizao dos extintores e detectores; Os alarmes de incndio devem ser alimentados por baterias, no caso de falha no fornecimento de energia.
Condies de gerais de segurana relacionados com a edificao (corresponde ao item 24 do questionrio - APNDICE B)
Deve existir sensoriamento de portas, janelas, dutos e superviso predial; Deve existir sala central de controle de segurana bem localizada e com qualificao pessoal; O monitoramento do permetro e reas externas ao prdio deve ser feito via CFTV; Deve existir um servio de vigilncia de 24 horas, inclusive nos fins de semana e feriados; As sadas de emergncia devem ser verificadas em relao usabilidade periodicamente; As portas para a rea do Data Center devem ser mantidas fechadas; Devem existir alarmes para informar vigilncia a violao de portas e acessos a reas do Data Center;
210
Deve ser feito um rodzio peridico entre os recepcionistas.
Condies
gerais
de
segurana
relacionados
com
evacuaes

Deve existir procedimento de evacuao; As sadas de emergncia devem estar livres e desimpedidas e em boas condies; Deve existir iluminao de emergncia e sinalizao adequadas e ser feito teste da mesma periodicamente; Devem existir telefones internos de emergncia para comunicao de sinistros; Deve existir um sistema de alarme para fazer a evacuao dos prdios; Deve existir um sistema de udio para auxiliar nos momentos de evacuao de pessoal.
Disposio e infra-estrutura das edificaes destinadas funo (corresponde ao item 26 do questionrio - APNDICE B)
Quadros de luz e iluminao devem estar localizados em local adequado; Deve existir controle de rudos nas imediaes do permetro; Deve existir controle de temperatura nas imediaes do permetro;
211
As condies de conservao e limpeza do piso elevado e do forro devem ser adequadas;
Os incidentes de segurana devem ser investigados para apurao da causa e tomada de ao corretiva.
Suprimento de energia (corresponde ao item 27 do questionrio APNDICE B)

Quedas de tenso ser freqentes, oscilaes e sobrecargas devem ser evitadas ; Deve existir estabilizador/no-break/gerador com autonomia satisfatria; As instalaes eltricas do prdio e as instalaes destinadas aos equipamentos de energia devem estar em boas condies e no oferecerem perigo; Deve existir exclusividade das instalaes eltricas no Data Center; O sistema de gerao prpria de energia deve ser testado periodicamente; O quadro de fora deve ser protegido e de fcil acesso para as situaes de emergncia; Deve existir um controle das perdas de horas de mquina devido a problemas de eletricidade; Deve existir um plano de manuteno para a rede eltrica.
212
Ar-condicionado APNDICE B)
(corresponde
ao
item
28
do
questionrio
A qualidade das instalaes e manuteno dos equipamentos e nvel de rudo deve ser satisfatria;
No deve existir a possibilidade de entrada de gases atravs dos dutos de ar-condicionado;
As chaves de emergncia devem desligar o sistema de ar-condicionado; O sistema de climatizao deve ser exclusivo; No deve ser compartilhado com rea e/ou tipo de equipamentos inadequados;
O dimensionamento do equipamento de ar-condicionado deve ser adequado;
Deve haver redundncias (e reservas) e simulaes peridicas; As aberturas externas (troca de ar) devem proporcionam uma adequada renovao;
Devem existir dampers corta-fogo e gases no interior dos dutos; Os equipamentos de ar-condicionado devem estar instalados em compartimentos fechados (com acesso somente a pessoal autorizado);
As tomadas de ar devem ser protegidas contra contaminao;
213
Devem existir alarmes nos sistemas de ar-condicionado; Os dutos do ar condicionado devem ser de material retardante; Os instrumentos de comando do sistema de ar-condicionado devem estar protegidos evitando manuteno no-autorizada;
Devem existir plantas com especificaes de toda a rede de arcondicionado.
Condies gerais de segurana relacionados com suprimento de gua (corresponde ao item 28 do questionrio - APNDICE B)
O prdio deve estar em boas condies em relao a goteiras; O prdio deve estar em boas condies em relao umidade, infiltraes e vazamentos de canalizaes; Deve ser garantida a continuidade do suprimento (existncia a capacidade do reservatrio); Deve ser garantida a qualidade das instalaes hidrulicas (vazamentos, infiltraes); Devem existir plantas atualizadas da rede hidrulica; A localizao das tubulaes e as condies dos materiais utilizados devem ser satisfatrias; Os telhados e a laje devem estar em boas condies;
214
O subsolo sofre algum tipo de interferncia; Quanto drenagem sob o piso elevado, a proteo em relao ao piso superior deve estar em boas condies;
Os encanamentos, exceto os necessrios, devem ser retirados do piso falso em reas sob o computador;
Os condutes devem ser a prova d'gua; Deve existir vedao adequada contra infiltrao de gua nas portas externas;
A vedao deve ser adequada contra infiltrao de gua nas janelas externas;
Deve existir escoamento de gua e drenagem adequada para impedir inundao na sala do computador;
A sala do computador deve possuir impermeabilizao adequada do teto, impedindo infiltrao de gua.
3.6
Conformidade
OBJETIVO: Evitar violaes de leis penais ou cveis, de obrigaes decorrentes de estatutos, regulamentos ou contratos e de quaisquer requisitos de segurana em:
215
Projeto; Operao; Utilizao; Gerenciamento de sistemas de informaes.
A ELECTRA est sujeita a exigncias de segurana decorrentes de estatutos, regulamentos ou contratos; Deve-se realizar consultoria sobre exigncias legais especficas junto ao departamento jurdico da ELECTRA ou com advogados externos devidamente qualificados; As exigncias legislativas variam de um pas para outro e para informaes criadas em um determinado pas e transmitidas para um outro pas - fluxos de dados que atravessam fronteiras.
Identificao da legislao aplicvel

Exigncias relevantes, impostas por lei, por rgos reguladores ou por contrato: Definidas explicitamente; Documentadas por sistema de informao; Controles especficos e as responsabilidades individuais pelo
atendimento a essas exigncias tambm devem ser definidos e documentados.
216
3.6.1
Preservao dos registros da ELECTRA
OBJETIVO: Proteger contra perda, destruio e falsificao.
Necessidades de arquivar registros de modo seguro

Deve atender as exigncias da lei ou de rgos reguladores;
Deve apoiar as atividades essenciais da ELECTRA: Pode ser exigido para comprovar que uma empresa opera de acordo com as normas da lei ou de rgos reguladores; Deve assegurar uma defesa adequada em um eventual processo civil ou criminal; Confirma a situao financeira de uma empresa para os seus acionistas, scios e auditores. Evidencia que o perodo de reteno das informaes e os dados a serem conservados podem ser estabelecidos pelas leis ou regulamentos do pas. Os registros devem ser classificados em categorias como registros contbeis, de empresas de dados, de transaes, de auditoria e de procedimentos operacionais. Cada tipo de registro ter exigncias especficas quanto ao perodo de reteno e tipo de veculo de armazenagem:
217
Papel, microficha, suportes magnticos ou pticos; Chaves de criptografia associadas a arquivos codificados ou assinaturas digitais devem ser guardadas com segurana e colocadas disposio das pessoas autorizadas quando necessrio;
Considerar a possibilidade de deteriorao dos suportes utilizados na armazenagem de registros;
Implementar procedimentos de armazenagem e manuseio de acordo com as recomendaes do fabricante;
Deve ser permitida a destruio apropriada dos registros aps a expirao do perodo de reteno, se no forem mais necessrios ELECTRA;
Para cumprir essas obrigaes, devem-se adotar as seguintes providncias: Emitir diretrizes sobre a reteno, armazenagem, manuseio e descarte de registros e informaes; Elaborar programa de reteno que identifique os tipos dos registros essenciais e por quanto tempo eles devem ser conservados; Manter inventrio das fontes de informaes-chave; Implementar controles apropriados para proteger registros e informaes essenciais contra perda, destruio e falsificao.
Coleta de provas - Regras para constituio de prova

Provas adequadas do apoio legal contra uma pessoa ou ELECTRA;
218
Sempre que essa ao for um assunto disciplinar interno, a prova necessria ser descrita pelos procedimentos internos. Nos casos em que a ao envolve a legislao civil ou penal, elas devem estar em conformidade com as regras para constituio de prova, estabelecidas pela legislao aplicvel ou pelas normas do tribunal especfico no qual o caso ser julgado: Admissibilidade da prova: se a prova pode ou no ser usada em juzo; Peso da prova: a qualidade e integridade da prova; Uma prova adequada de que os controles funcionaram de modo correto e consistente durante todo o perodo em que a prova a ser recuperada foi armazenada e processada pelo sistema.
Admissibilidade da prova
Para conseguir a admissibilidade da prova, assegurar que os sistemas de informaes obedecem a uma dada norma ou cdigo de prtica publicados para a produo de provas admissveis.
Qualidade e integridade da prova

Para se obter a qualidade e integridade da prova h necessidade de um forte indcio de credibilidade. Em geral, essa credibilidade pode ser estabelecida sob as seguintes condies: Para documentos em papel: o original guardado de maneira segura, ficando registrado quem o encontrou, onde e quando foi encontrado e
219
quem testemunhou a descoberta. Qualquer investigao deve garantir que ningum alterou os originais; Para informaes em suportes fsicos de computador: devem ser feitas cpias de qualquer veculo removvel das informaes em disco rgido ou na memria para garantir a disponibilidade; Conservar o registro de todos os atos praticados durante o processo de cpia; Identificar testemunhas para esse processo; Cpia do suporte fsico e do log devem ser mantidos em lugar seguro; Quando um incidente detectado, pode no ser bvio num primeiro momento que ele possa dar origem a uma ao judicial; Existe risco de que as provas necessrias sejam destrudas
acidentalmente antes que se perceba a gravidade do incidente; Recomenda-se envolver um advogado j nos estgios iniciais de qualquer ao judicial que se pretende adotar e pedir conselho sobre as provas necessrias.

Os gerentes devem assegurar que todos os procedimentos de segurana dentro de sua rea de responsabilidade so executados corretamente;
220
Deve ser feita regularmente uma reviso em todas as reas da ELECTRA para assegurar a conformidade com as polticas e normas de segurana. As revises devem incluir o seguinte: Sistemas de informaes; Fornecedores de sistemas; Gestores das informaes e dos ativos de informao; Usurios; Administrao.
Os gestores dos sistemas de informaes devem providenciar revises peridicas da conformidade dos seus ambientes com as polticas e normas de segurana apropriadas e com quaisquer outros requisitos de segurana.
3.6.2
Situao atual em relao Conformidade
Conformidade com exigncias legais

Existe a preocupao de evitar violaes de qualquer lei penal ou civil, de obrigaes decorrentes de estatutos, regulamentos ou contratos e de quaisquer requisitos de segurana; A ELECTRA est sujeita a exigncias de segurana decorrentes de estatutos, regulamentos ou contratos;
221
Existe uma consultoria sobre exigncias legais especficas junto ao departamento jurdico da ELECTRA;
So analisadas as exigncias legislativas que variam de um Pas para outro, para informaes criadas em um determinado Pas e transmitidas para um outro (fluxos de dados que atravessam fronteiras).
Identificao da legislao aplicvel

So observadas as exigncias relevantes impostas por lei, por rgos reguladores ou por contrato, definidas explicitamente e documentadas por sistema de informao; Os controles especficos e as responsabilidades individuais pelo atendimento a essas exigncias esto definidos e documentados.
Preservao dos registros da ELECTRA

Os registros da ELECTRA no so protegidos contra perda, destruio e falsificao; Os registros no esto arquivados de modo seguro para atender a exigncias da lei ou de rgos reguladores; Os registros que podem ser exigidos para comprovar que uma organizao opera de acordo com as normas da lei; ou de rgos reguladores; ou para assegurar uma defesa adequada em um eventual processo civil ou criminal; ou para confirmar a situao financeira de
222
uma organizao para os seus acionistas, scios e auditores, no esto protegidos de forma adequada; So observados o perodo de reteno das informaes e os dados a serem conservados, que so estabelecidos pelas leis ou regulamentos do pas; Os registros contbeis, de bancos de dados, de transaes, de auditoria e procedimentos operacionais no esto protegidos; Cada tipo de registro tem exigncias especficas quanto a perodo de reteno e tipo de veculo de armazenagem, como: papel, microficha, suportes magnticos ou pticos. Esse procedimento observado; realizada destruio apropriada dos registros aps a expirao de tal perodo, se no forem mais necessrios; Existe um programa de reteno que identifica os tipos dos registros essenciais e por quanto tempo eles devem ser conservados; No existem controles de segurana apropriados para proteger registros e informaes essenciais contra perda, destruio e falsificao.
223
3.6.3
Recomendaes sobre a conformidade
Adequao imediata da ELECTRA legislao vigente relativa a segurana da informao, observando ao Decreto 3.505, de 14 de junho de 2000;
O Data Center da ELECTRA deve proteger contra perda, destruio e falsificao e acesso os registros fsicos em papis da ELECTRA, de acordo com a legislao e os rgos reguladores.
O Comit Gestor Multidisciplinar deve ser encarregado de adequar a ELECTRA s recomendaes acima descritas.
Implementar as diretrizes da Norma ISO/IEC 17799, de 19 de setembro de 2001.
Implementar controles de segurana apropriados para proteger registros e informaes essenciais contra perda, destruio e falsificao, como controle de acesso, higienizao, organizao, arquivos deslizantes para proteger o acervo etc;
necessrio avaliar o risco de se terceirizar a guarda de documentos sigilosos, porque atualmente no existe a classificao das informaes. O ideal que o local seja vistoriado e que os funcionrios do terceiro passem por um treinamento de conformidade com a Norma ISO/IEC 17799.
224
3.6.4
Plano de Ao
Geral
Treinar, instruir e conscientizar os funcionrios a respeito da adequao s normas que tratam da questo da Segurana da Informao; Aquisio de cofre ou arquivos deslizantes para guarda do material de propriedade intelectual, manuais de softwares e outros.
Conformidade com exigncias legais (corresponde ao item 1 do questionrio - APNDICE B)

A organizao deve atender a exigncias de segurana decorrentes de estatutos, regulamentos ou contratos.
Preservao dos registros da organizao (item 3 do questionrio APNDICE B)

Os registros da organizao devem ser protegidos contra perda, destruio e falsificao; Os registros devem ser arquivados de modo seguro para atender a exigncias da lei ou de rgos reguladores; Os registros que podem ser exigidos para comprovar que a organizao opera de acordo com as normas da lei ou de rgos reguladores ou para
225
assegurar uma defesa adequada em um eventual processo civil ou criminal ou para confirmar a situao financeira de uma organizao para os seus acionistas, scios e auditores, devem ser protegidos de forma segura; Deve-se observar que cada tipo de registro tem exigncias especficas quanto a perodo de reteno e tipo de veculo de armazenagem, como: papel, microficha, suportes magnticos ou pticos; Registros contbeis, de bancos de dados, de transaes, de auditoria e procedimentos operacionais devem ser protegidos de forma segura; Devem ser consideradas as possibilidades de deteriorao dos suportes utilizados na armazenagem de registros; Nos casos de armazenagem por meios eletrnicos, devem estar inclusos os procedimentos para assegurar a capacidade de acessar dados legibilidade dos suportes fsicos como dos formatos - durante todo o perodo de reteno, como garantia contra a perda decorrente de futuras mudanas de tecnologia; Devem ser escolhidos os sistemas de armazenagem em que os dados necessrios possam ser recuperados de um modo aceitvel para um tribunal; Os registros exigidos devem ser recuperados dentro de um tempo aceitvel e num formato aceitvel; Deve-se manter um inventrio das fontes de informaes-chave;
226
Devem ser implementados controles de segurana apropriados para proteger registros e informaes essenciais contra perda, destruio e falsificao;
Conformidade com a poltica de segurana (item 4 do questionrio APNDICE B)

Os gerentes devem assegurar que todos os procedimentos de segurana dentro de sua rea de responsabilidade so executados corretamente; Deve ser realizada regularmente uma reviso em todas as reas da organizao para assegurar conformidade com as polticas e normas de segurana.
3.7
Plano de Ao Geral (Todos os Mdulos Analisados)
Criar e aprovar em carter de emergncia, uma Poltica de Segurana Corporativa das Informaes (com Marketing de Divulgao e Treinamento de conscientizao adequada) de acordo com as Normas, Legislaes e cultura da ELECTRA;
Nomear um Gerente de Segurana da Informao (Security Officer); Criar um Comit Gestor para implementao, manuteno e reviso da Poltica de Segurana da Informao na ELECTRA;
Customizar as ferramentas de Deteco de Invaso;
227
Implantar um Plano de Contingncia e PCN - Plano de Continuidade de Negcios;
Reviso de todos os Contratos com Terceiros; Exigir em contrato que o terceiro desenvolva treinamento de conformidade com a Norma ISO/IEC 17799.
Estabelecer pontos de contatos para tratar incidentes de segurana; Estabelecer uma contingncia junto empresa prestadora de servios de telefonia.
Nomear um gestor responsvel para cada ativo da ELECTRA Compilar um inventrio dos ativos fsicos e lgicos; Identificar o valor dos ativos; Implementar Classificao das Informaes conforme a Norma ISO/IEC 17799 (a metodologia dever estabelecer Escalas dos Graus de sigilo e o Teor Crtico das informaes da ELECTRA, de modo a refletir a abrangncia de utilizao da informao);
Criar procedimentos para alterao dos nveis de classificao da informao;
Definir procedimentos de rotulagem de informaes. Re-analisar todos os privilgios de acesso;
228
Desenvolver procedimentos para desativao on-line de login de funcionrios que so demitidos ou suspensos;
Realizar treinamento de segurana para funcionrios e terceirizados; Dotar reas crticas de monitorao via CFTV; Adotar tecnologia de controle de acesso de funcionrios, terceirizados e visitantes, visando restringir fraudes e acesso no autorizado;
Estudar a implantao de sala de segurana (sala-cofre); Instalar cofre para guarda de mdias; Instalar CFTV em pontos estratgicos; Proibir fumar no CPD; Instalar deteco precoce de incndio com combate automtico de gs FM 200;
Instalar controle de acesso em salas de ambientes alta criticidade; Instalar grupo gerador;
229
ANLISE DE RESULTADOS
AVALIAO GERAL DA ELECTRA

Valores Mdulos Referncia Apurados Atuais Estimados aps Implantao Melhoria
Poltica de Segurana Segurana Organizacional Classificao e Controle dos Ativos Segurana em Pessoas Segurana Fsica e do Ambiente Conformidade
165 651 378 195 3165 285
0 322 183 140 1730 183
165 546 331 160 2664 263
100% 41% 45% 13% 35% 30% 38%
Resultado Geral da Avaliao Resultado da Conformidade
4839
2558 53%
4129 85%
Tabela 1 - Resultado estimado decorrentes da implementao do plano de ao
Observa-se na tabela acima que os mdulos de Poltica de Segurana, Classificao e Controle dos Ativos e Segurana Organizacional so os que maiores melhorias sofrero em nmeros relativos. O mdulo de Segurana fsica o maior em nmeros absolutos e que representa o maior esforo de implantao.
230
CONCLUSO
O processo de implementao desta proposta exigir da ELECTRA grande esforo e o comprometimento da alta gerncia composta pela presidncia e diretorias executivas, apoiadas nas gerncias setoriais. Esse empenho envolve a liberao de recursos necessrios, tanto financeiros como humanos, bem como o compromisso de disseminar uma cultura organizacional, voltada para a manuteno da poltica de segurana e da segurana fsica do seu ambiente de processamento de dados. Alm disso, necessrio criar o comit de segurana multidisciplinar dirigido por um gestor responsvel , com a responsabilidade de implantar, manter e revisar a poltica de segurana. A inobservncia desta recomendao poder acarretar em desconhecimento das diretrizes de segurana, descumprimento das mesmas, continuidade ou aumento das vulnerabilidades existentes, impossibilidade de punio em caso de sinistro, entre outros. As aes sugeridas nos planos de ao, nos seus diversos mdulos, a saber: a poltica de segurana; a segurana fsica e de ambiente - considerando as diversas reas e delimitadas segundo o conceito de permetro de segurana, os dispositivos e mecanismos de segurana como barreiras; a segurana em pessoas atravs da aculturao e a conformidade com as leis vigentes, permitiro alcanar os nveis de segurana fsica desejveis e adequados para a ELECTRA. A implementao das melhorias propostas reduzir o risco existente sobre os seus principais ativos.
231
De acordo com a anlise de resultados, observa-se que, apesar de proporcionalmente menor, as melhorias na segurana fsica exigiro maiores esforos do que todas as outras. Haver necessidade de adequao das instalaes (eltricas, hidrulicas, incndio, etc), mudana de layout, re-instalar a estrutura de cabeamento entre outros. importante observar que no devam ocorrer interrupes das atividades vitais de negcio da ELECTRA ou que estas sejam mnimas durante a implementao das recomendaes. Ainda observando os resultados, atravs do plano de ao, elevar-se- o nvel conformidade com a Norma NBR ISO/IEC 17799 de um nvel insatisfatrio de 53% (cinqenta e trs por cento) para um patamar adequado de 85% (oitenta e cinco por cento), considerado satisfatrio e admissvel pela ELECTRA.
232
REFERNCIAS BIBLIOGRFICAS
MOREIRA, Nilton Stringasci, Segurana Mnima, Axcel Books, 1. edio, 2001. PELTIER, Thomas R., Information Security Risk Analysis, CRC Press, 1 edio, 2001 SANTOS, Antonio Jeov, Dano Moral na Internet, Editora Mtodo, 1. edio, 2001. DIAS, Claudia, Segurana e Auditoria da Tecnologia da Informao, Axcel Books, 1. edio, 2000. CARUSO, C.A.A., Segurana em Informtica e de Informaes, Editora SENAC SP, 1. edio, 1999 ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Cdigo de Prtica para a Gesto da Segurana da Informao. NBR ISO/IEC 17799:So Paulo,2001. FERREIRA, Aurlio Buarque de Holanda, Dicionrio Aurlio da Lngua Portuguesa, 2 Edio, 2003. SILLAMY, Norbert, Dicionrio de Psicologia, Larousse, 1996. FERREIRA, Aurlio Buarque de Holanda, Novo Dicionrio Aurlio da Lngua Portuguesa, 2a. Edio, Editora Nova Fronteira, 1986. LANNOY Dorin, Enciclopdia de psicologia contempornea, 5o. volume, Editora Iracema, 1981. MAIA, Marco Aurlio, Mdulo Security Magazine www.modulo.com.br , 31 de julho de 2002. GALVO, Marcio; POGGI, Eduardo, Mdulo, Avaliao de Riscos em Segurana da Informao com o Security Check-up, 2002. Febraban, www.febraban.org.br/palestras, consultado no dia 02/11/2004. Mdulo Security, www.modulo.com.br, consultado no dia 02/11/2004.
233
Dicionrio Priberam, www.priberam.pt, consultado no dia 02/11/2004.
234
APNDICE A
235
Layout da situao atual
Figura 7 - Layout atual do piso da garagem
Figura 8 - Layout atual do piso do Data Center
236
Figura 9 - Layout atual do pavimento trreo
Figura 10 - Layout atual do pavimento tipo
237
Layout proposto aps a anlise
Figura 11`- Sugesto de layout para o 2o. Sub-solo Garagem
Figura 12 - Sugesto de layout para o 1o. Sub-solo
238
Figura 13 - Sugesto de layout para o pavimento Trreo
Figura 14 - Sugesto de layout para o pavimento Tipo
239
APNDICE B
240
Fotos ilustrativas da situao atual
Corredor em frente ao auditrio: Mangueira exposta (sem tampa)
Hidrante localizado na Garagem: Dificuldade de acesso ao hidrante
Sala de Backup no Data Center: Existncia de detector de fumaa
Sala de impresso no Data Center: Risco de curto-circuito e acidente em pessoas
Sada de emergncia do 2 andar: Porta de emergncia obstruda
Sala de Terceirizados no Data Center: Rachadura
241
Sala de Banco de Dados no Data Center: Rachadura
Sala de Coordenao no Data Center: M disposio de cabeamento
Teto da Sala de Testes no Data Center: Ms condies das instalaes eltricas
Sala de Suporte no Data Center: Ms condies das instalaes eltricas
Controle de acesso ao Data Center: Falha no controle de acesso
Controle de acesso ao Data Center: Falha no controle de acesso
242
Sala de ar-condicionado: Corroso no duto de ar-condicionado
Entrada da Cobertura: Porta obstruda e material combustvel
Corredor interno do Data Center: Ms condies das instalaes de dados
Sala do Call Center no Data Center: M disposio de cabos
Sala de Operadores e Analistas no Data Center: Predominncia de ms condies das instalaes eltricas/dados
Sala do Gerador: Dutos de conexo do Gerador em ms condies
243
Sala do Gerador: Dutos de conexo do Gerador em ms condies
Sala do Gerador: Rachadura
Sala do Gerador: Bocal de abastecimento do Gerador
Almoxarifado: Descarte de material de forma inadequada
Almoxarifado: Descarte de material de forma inadequada
Sala de Operadores no Data Center: Ms condies das instalaes eltricas
244
Sala de Testes no Data Center: Ms condies das instalaes eltricas
Sala de Servios Gerais no Data Center: Infiltrao com possibilidade de cultura de bactrias
Sala de Gerncia de Redes no Data Center: M disposio dos equipamentos
Sala de Operadores no Data Center: Indcio de insuficincia no condicionamento de ar nas salas do Data Center
Sala de Arquitetura no 1 andar: Precrias condies dos dispositivos de controle de acesso ao ambiente
Corredor do Data Center: Ausncia de extintor de incndio
245
Sala de Servidores de Rede: M disposio do cabeamento no Data Center
Sala de ar-condicionado: Filtros de ar-condicionado sujos (manuteno inadequada)
Sala de ar-condicionado: Cabeamento em ms condies
Cobertura do edifcio: Corroso decorrente de vazamento no sistema de ar-condicionado
Cobertura do edifcio: Vazamento no sistema de ar-condicionado
Sala de Mquinas do Grande Porte: Piso elevado de material combustvel
246
Sala de Servidores de Rede: M disposio de cabeamento
Sala de Servidores de Rede: M disposio de cabeamento
Corredor do 1 andar: Distribuio inadequada de material de combate a incndio
Corredor do 1 andar: Obstruo de sada de emergncia
Sala de Servidores de Rede: Indcio do uso de cigarro no ambiente do Data Center
Sala de Mquinas de Grande Porte: Existncia de detector de incndio no piso elevado
247
Sala de Testes no Data Center: M disposio de cabeamento telefnico
Sala de Operadores no Data Center: Dificuldade de acesso ao extintor
Sala de Banco de Dados: M disposio de cabeamento
Sala de Banco de Dados: M disposio de cabeamento lgico e eltrico
Sala de equipamentos e infra-estrutura no 1 andar: Material combustvel no ambiente do Data Center
Sala de Suporte no Data Center: Cabeamento lgico e eltrico misturados
248
Sala de Mquinas de Grande Porte: Cabeamento lgico e eltrico misturados
249
Sala de Material no 4 andar: Material combustvel junto aos equipamentos
Sala de Material no 4 andar: M disposio de equipamentos
Corredor do Data Center: Vista geral do ambiente do Data Center
Corredor do Data Center: Evidncia da utilizao de cigarro no permetro de segurana
Sala de ar-condicionado: ar-condicionado
Sada de emergncia do 3 andar: Porta de incndio com calo
250
Sala de Mquinas de Grande Porte: Piso elevado de material combustvel
Sala de Impresso no Data Center: Descarte inadequado de material
Sala de Impresso no Data Center: Descarte inadequado de material
Sala de Backup no Data Center: Ms condies de conservao do sistema de ar-condicionado (poeira)
Sala de Backup no Data Center: Conseqncia da m condio de conservao do sistema de ar-condicionado (poeira)
251
APNDICE C
252
Planilhas de avaliao
Poltica de Segurana
No Item Perguntas Peso 0 1 2 3 Referncia Apurados Sim Valores Aderncia Legenda
Aderncia Geral
165
0%
0: Ausncia total 1: Presena inexpressiva 2: Presena parcial 3: Presena total
Poltica de Segurana das Informaes
30
0%
Oferecida orientao e suporte 1.1 administrao para a segurana das informaes? A administrao estabelece uma diretriz de poltica bem definida e demonstra o seu apoio e compromisso com a 1.2 segurana das informaes, atravs da emisso e manuteno de uma poltica de segurana das informaes em toda a organizao?
15
0%
Prover direo uma orientao e apoio para a segurana da informao.
15
0%
253 Documento de Definio da Poltica de Segurana das Informaes

5 x
90
0%
Convm que um documento da poltica seja aprovado pela direo, publicado e comunicado, de forma adequada, para todos os funcionrios
A poltica aprovada pela administrao, 2.1 publicada e divulgada para todos os empregados, da maneira apropriada? Foi firmado compromisso da administrao que descreve a 2.2 abordagem da organizao quanto ao gerenciamento da segurana das informaes? divulgado aos usurios em toda a organizao, de uma forma relevante, 2.3 acessvel e compreensvel ao pblicoalvo? So includas pelo menos orientaes como definio da segurana das informaes, seus objetivos globais e escopo e da importncia da segurana como um mecanismo capacitador para o compartilhamento de informaes, declarao da inteno da administrao, apoiando as metas e os princpios da segurana das informaes, breve explicao das 2.4 polticas de segurana, dos princpios, normas e requisitos de conformidade que sejam de especial importncia para a organizao (cumprimento de exigncias legais e contratuais, requisitos de treinamento em segurana, preveno e deteco de vrus e outros softwares mal intencionados, gerenciamento da continuidade dos negcios, conseqncias de violaes da poltica de segurana)?
15
0%
15
0%
15
0%
15
0%
254
So definidas responsabilidades gerais e especficas pelo gerenciamento da 2.5 segurana das informaes, incluindo a comunicao de incidentes de segurana? Existem referncias documentao que poder apoiar a poltica, como por exemplo polticas e procedimentos de 2.6 segurana mais detalhados para determinados sistemas de informaes ou normas de segurana s quais os usurios deveriam obedecer? 3
15
0%
15
0%
Poltica Reviso e Avaliao
45
0%
A poltica tem um "dono" que responsvel por sua manuteno e 3.1 reviso de acordo com um processo de reviso definido? So asseguradas revises em resposta a 3.2 quaisquer mudanas que afetem as bases da avaliao original dos riscos? Existem revises peridicas, programadas, quanto eficcia da poltica, demonstrada pela natureza e pelo nmero e impacto dos incidentes de 3.3 segurana registrados, custo dos controles e seu impacto sobre a eficincia da empresa e efeitos das mudanas tecnolgicas?
15
0% Convm que a poltica tenha um gestor que seja responsvel por sua manuteno e anlise crtica, de acordo com um processo de anlise crtica definido.
15
0%
15
0%
255
Classificao e Controle dos Ativos

Aderncia Geral
Responsabilidade sobre os ativos (equipamentos e Informaes)
mantida uma proteo apropriada dos ativos da organizao ? 5 x
378
183
48%
42
26
62%
1.1
15
10
67%
Atualmente, so identificados os gestores de todos os ativos relevantes 1.2 e atribuda a responsabilidade pela manuteno de controles apropriados ? A responsabilidade pela 1.3 implementao dos controles delegada? A responsabilidade deve continuar com 1.4 o gestor designado do ativo. feito assim? 2
15
10
67%
Manter a proteo adequada dos ativos da organizao.
67%
33% O inventrio dos ativos ajuda a assegurar que as protees esto sendo feitas de forma efetiva e tambm pode ser requerido para outras finalidades de negcio, como sade e segurana, seguro ou financeira (gerenciamento patrimonial).
Inventrio dos ativos

feito o inventrio de ativos na empresa? 5 x
60
15
30
5
50%
33%
2.1
256
feita uma crtica do inventrio dos ativos ? A empresa oferece nveis de proteo 2.4 compatveis com o valor e a importncia dos ativos? Cada ativo tem um acordo sobre sua propriedade e classificao de segurana e documentado, 2.5 juntamente com sua localizao corrente? (Muito importante na recuperao aps qualquer perda ou danificao) 2.2 3 5 5 x x
15 10 67%
15
10
67%
15
33%
Classificao e controle de ativos
30
20
67%
Convm que um inventrio dos principais ativos associados com cada sistema de informao seja estruturado e mantido.
A organizao capaz de identificar os 3.1 seus ativos e saber o valor relativo e a importncia dos mesmos? elaborado e mantido um inventrio 3.2 dos ativos importantes associados a cada sistema de informaes? 4
15
10
67%
15
10
67%
Classificao das informaes
45
25
56%
Assegurar que os ativos de informao recebam um nvel adequado de proteo.
Existe uma classificao das informaes para assegurar que os 4.1 ativos de informao recebam um nvel de proteo adequado? A classificao da informao indica a 4.2 necessidade, as prioridades e o grau de proteo?
15
10
67%
15
10
67%
257
Sabendo-se que algumas informaes so mais sensveis e crticas do que outras e que alguns itens podem exigir um nvel adicional de proteo ou manuseio especial, tem sido utilizado 4.3 um sistema de classificao para definir um conjunto apropriado de nveis de proteo e comunicar a necessidade de medidas especiais de manuseio? 5
15
33%
Diretrizes de classificao
60
20
33%
A classificao e os controles protetores associados levam em considerao as necessidades da empresa de compartilhar ou restringir 5.1 informaes e os impactos empresariais associados a tais necessidades, como acesso no autorizado ou danos integridade das informaes? A classificao atribuda constitui um meio abreviado para determinar como 5.2 esta informao manuseada e protegida adequadamente? As informaes e as sadas produzidas por sistemas que processam dados 5.3 classificados so rotulados quanto ao seu valor e grau de sensibilidade para a organizao? As informaes so rotuladas para indicar at que ponto so crticas para 5.4 a organizao, quanto sua integridade e disponibilidade?
15
33% Convm que a classificao da informao e seus respectivos controles de proteo levem em considerao as necessidades de negcios para compartilhamento ou restrio de informaes e os respectivos impactos nos negcios como, por exemplo, o acesso no autorizado ou danos informao.
15
33%
15
33%
15
33%
258 Alterao do nvel de Classificao

A informao pode deixar de ser sensvel ou crtica aps um certo tempo, por exemplo quando foi divulgada para o pblico. So levados em conta esses aspectos, uma vez que um excesso de sigilo pode causar custos adicionais desnecessrios empresa? As diretrizes de classificao prevem e levam em conta o fato de que a classificao de um determinado item de informao no necessariamente imutvel no tempo e que pode mudar de acordo com uma poltica prdeterminada? O nmero de categorias de classificao e os benefcios que se obtm do seu uso so levados em conta? Esquemas de classificao complexos demais podem se tornar incmodos ou antieconmicos no uso ou ser impraticveis. So tomados os cuidados ao interpretar rtulos de classificao em documentos de outras organizaes, que podero ter diferentes significados para rtulos iguais ou similares?
66
27
41%
importante que um conjunto apropriado de procedimentos seja definido para rotular e tratar a informao de acordo com o esquema de classificao adotado pela organizao.
6.1
15
33%
6.2
15
33%
6.3
15
33%
6.4
15
10
67%
259
A responsabilidade pela definio da classificao de uma determinada informao e pela reviso peridica 6.5 desta classificao delegada da pessoa que originou a informao ou do gestor designado da informao?
33%
Rotulagem e manuseio de informaes

definido um conjunto apropriado de procedimentos para a rotulagem e manuseio das informaes, de acordo com o esquema de classificao adotado pela organizao? So abrangidos os ativos de informao tanto em formato fsico quanto em formato eletrnico? Para cada classificao so definidos procedimentos de manuseio referentes a tipos de atividade de processamento da informao como: cpia; armazenagem; transmisso pelo correio, por fax ou por e-mail; transmisso oral, incluindo telefone celular, correio de voz, secretrias eletrnicas; destruio? Os itens a serem levados em conta incluem relatrios impressos, displays na tela, informaes gravadas (fitas, discos, CD-ROMs, cassetes), mensagens eletrnicas e transferncias de arquivo? Etiquetas fsicas (geralmente o meio mais apropriado) so utilizados na rotulagem?
75
35
47%
7.1
15
33%
7.2
15
33% importante que um conjunto apropriado de procedimentos seja definido para rotular e tratar a informao de acordo com o esquema de classificao adotado pela organizao.
7.3
15
33%
7.4
15
33%
7.5
15
15
100%
260
Segurana Fsica e Ambiente

Aderncia Geral
120
35
29%
reas Seguras
As reas crticas ou sensveis da empresa esto localizadas em reas seguras? Esto protegidas por um permetro de segurana definido, com barreiras de segurana e controles de entrada apropriados? Esto protegidas fisicamente contra acesso no autorizado, danos e interferncia? O grau de proteo proporcional aos riscos identificados? Existe poltica de mesa vazia e tela vazia para reduzir o risco de acesso no autorizado ou danos a documentos, mdia e instalaes de processamento de informaes?
75
10
13%
1.1
15
33%
1.2
15
33%
Prevenir acesso no autorizado, dano e interferncia s informaes e instalaes fsicas da organizao.
1.3 1.4
5 5 x
15
10
67%
15
33%
1.5
15
33%
261 2 Permetro de Segurana

Existe proteo fsica com barreiras fsicas em volta das instalaes da empresa e dos equipamentos de processamento de informaes? As barreiras estabelecem um permetro de segurana correto para aumentar a proteo total oferecida? So utilizados permetros de segurana para proteger as reas que contm equipamentos de processamento de informaes? Existem barreiras, paredes, portes de entrada controlados por carto ou uma mesa com recepcionista, que constituam um permetro de segurana? O permetro do edifcio ou site que contm reas crticas fisicamente slido? Existem brechas no permetro ou reas que permitam uma penetrao fcil? As paredes externas so de construo slida? As portas externas so devidamente protegidas contra o acesso no autorizado, com mecanismos de controle, barras, alarmes, fechaduras e etc? Existe rea de recepo com pessoal ou outro meio de controle do acesso fsico ao site ou ao edifcio?
180
80
44%
A proteo fsica pode ser alcanada atravs da criao de diversas barreiras fsicas em torno da propriedade fsica do negcio e de suas instalaes de processamento da informao
2.1
15
33%
2.2
15
33%
2.3
15
33%
2.4
15
10
67%
2.5 2.6 2.7
5 5 5
x x x
15
33%
15 15
5 5
33% 33%
2.8
15
10
67%
2.9
15
10
67%
262
Somente pessoal autorizado tem acesso aos sites e edifcios? As barreiras fsicas so estendidas, se necessrio, do piso bruto ao teto bruto, para impedir o acesso no autorizado e contaminao ambiental, que pode ser 2.11 causada no Data Center, central de telefonia, unidade certificadora, arquivos de documentos sensveis e estratgicos? Existem portas corta-fogo no permetro 2.12 de segurana? Elas so equipadas com alarme e fecham automaticamente? 2.10 5 x
15 10 67%
15
10
67%
15
0%
3
3.1 3.2
Controles fsicos de entrada

As reas seguras so protegidas por controles de entrada apropriados? O acesso a informaes e equipamentos sensveis controlado e restrito ao pessoal autorizado? Existem controles de autenticao, como cartes magnticos com nmero de identificao pessoal (PIN) e/ou biometria para autorizar e validar todos os acessos? As trilhas de auditoria de todos os acessos so guardadas local seguro? exigido que o pessoal utilize alguma forma de identificao visvel e que interpele pessoas estranhas no acompanhadas e qualquer pessoa que no esteja usando uma identificao visvel? 5 5 x x
90
15
70
10
78%
67%
Convm que as reas de segurana sejam protegidas por controles de entrada apropriados para assegurar que apenas pessoas autorizadas tenham acesso liberado.
15
15
100%
3.3
15
15
100%
3.4
15
33%
3.5
15
15
100%
263
3.6 Os direitos de acesso a reas seguras so revistos e atualizados regularmente? 5 x
15 10 67%
Proteo das instalaes

Para a proteo das instalaes, existe a preocupao de rea segura como salas trancadas ou vrias salas dentro de um permetro fsico de segurana, que podem ser trancadas e que disponham de arquivos de ao trancveis ou cofres? A escolha e o projeto de uma rea segura deve levar em conta a possibilidade de danos causados pelos riscos ou vulnerabilidades. Isso observado? So levados em conta os regulamentos e normas relevantes de sade e segurana? So levadas em considerao eventuais ameaas segurana causadas por instalaes vizinhas, como infiltraes, vazamento de gua proveniente de outra rea e etc?
51
34
67%
4.1
15
10
67%
4.2
15
10
67%
Convm que a seleo e o projeto de uma rea de segurana levem em considerao as possibilidades de dano causado por fogo, inundaes, exploses, manifestaes civis e outras formas de desastres naturais ou causados pelo homem.
4.3
67%
4.4
15
10
67%
5
5.1
Controle
Os equipamentos crticos esto em local no acessvel ao pblico? 5 x
141
15
94
10
67%
67%
Evitar exposio ou roubo de informao e de recursos de processamento da informao
264
Os prdios so discretos e indicam o mnimo possvel a sua finalidade, sem sinais visveis, dentro ou fora do edifcio, que identifiquem a presena de atividades de processamento de informaes? Funes e equipamentos de suporte, (fotocopiadoras e fax), ficam num local apropriado dentro da rea segura, para evitar pedidos de acesso que poderiam comprometer as informaes? So implementados sistemas apropriados de deteco de intrusos, instalados segundo padres profissionais e testados regularmente, para cobrir todas as portas externas e as janelas acessveis? As reas no ocupadas dispem de alarme armado permanentemente? Equipamentos administrados pela organizao ficam fisicamente separados dos equipamentos administrados por terceiros? As listas de pessoal e listas telefnicas internas que identificam a localizao dos equipamentos de processamento de informaes sensveis ficam em local no acessvel ao pblico? Materiais perigosos ou combustveis so armazenados de modo seguro e a uma distncia adequada de uma rea segura? Os suprimentos em grande volume so armazenados dentro de uma rea segura, somente sendo requisitados medida que forem sendo utilizados?
5.2
15
10
67%
5.3
15
10
67%
5.4
15
33%
5.5
15
33%
5.6
15
33%
5.7
67%
5.8
15
15
100%
5.9
15
15
100%
265
Os equipamentos e mdia de backup so localizados a uma distncia segura, para 5.10 que no sejam danificados em caso de um acidente no site principal?
15
15
100%
O trabalho em reas seguras

Existem controles e diretrizes adicionais para aumentar a segurana de uma rea sensvel? Existem controles para o pessoal e/ou para terceiros que trabalham dentro da rea segura? Atividades de terceiros no devem ser executadas nesta rea. Isso observado? O pessoal s sabe da existncia de uma rea segura e das atividades nela executadas numa base de necessidade de saber? evitado o trabalho no supervisionado em reas seguras, tanto por motivos de segurana como para no dar oportunidade a atividades malintencionadas? As reas seguras desocupadas so trancadas fisicamente e inspecionadas periodicamente? O acesso ao suporte de terceiros restrito s reas seguras ou aos equipamentos de processamento de informaes sensveis e somente quando necessrio? O acesso autorizado e monitorado?
87
64
74%
Manuais e controles adicionais podem ser necessrios para melhorar as condies de uma rea de segurana.
6.1
15
10
67%
6.2
15
10
67%
6.3
33%
6.4
33%
6.5
15
10
67%
6.6
15
15
100%
6.7
15
15
100%
6.8
15
15
100%
266
Existem barreiras e permetros adicionais de controle de acesso fsico 6.9 entre reas com diferentes requisitos de segurana dentro do permetro de segurana? proibida a presena de equipamento 6.10 fotogrfico, de vdeo, udio ou gravao, a no ser com autorizao?
15
15
100%
15
15
100%
Isolamento das reas de entregas e de carregamento

As reas de entregas e de carregamento so controladas e isoladas dos equipamentos de processamento de informaes, a fim de evitar o acesso no autorizado? Os requisitos de segurana para tais reas so determinados por uma avaliao dos riscos? O acesso a uma rea de armazenagem provisria, a partir do exterior de um edifcio, restrito ao pessoal identificado e autorizado? A rea de armazenagem provisria projetada de tal maneira que os suprimentos possam ser descarregados sem que o pessoal de entrega tenha acesso a outras partes do edifcio? As portas externas de uma rea de armazenagem provisria permanecem trancadas enquanto a porta interna estiver aberta? O material recebido inspecionado para detectar eventuais perigos antes de ser transportado da rea de armazenagem provisria para o local de utilizao?
105
70
67%
7.1
15
10
67%
Convm que as reas de expedio e de carregamento sejam controladas e, se possvel, isoladas das instalaes de processamento da informao, com o objetivo de evitar acessos no autorizados. Convm que os requisitos de segurana sejam determinados a partir de uma avaliao de risco.
7.2
15
10
67%
7.3
15
10
67%
7.4
15
10
67%
7.5
15
10
67%
7.6
15
10
67%
267
7.7 O material recebido registrado ao entrar no site? 5 x
15 10 67%
Segurana do Equipamento
Os equipamentos so protegidos fisicamente contra as ameaas sua segurana e os perigos ambientais? So levados em conta localizao e disposio dos equipamentos? Existem controles especiais para proteo contra perigos ou acesso no autorizado e para preservar os equipamentos de apoio, como o suprimento de corrente e a infraestrutura de cabeamento?
45
30
67%
8.1 8.2
5 5
x x
15
10
67%
15
10
67%
Prevenir perda, dano ou comprometimento dos ativos, e a interrupo das atividades do negcio.
8.3
15
10
67%

Os equipamentos so localizados ou protegidos de modo a reduzir o risco das ameaas e perigos do meio-ambiente e as oportunidades de acesso no autorizado? Os equipamentos so localizados de modo a minimizar o acesso desnecessrio s reas de trabalho? Os equipamentos de processamento e armazenagem de informaes que manuseiam dados sensveis so posicionados de modo a minimizar o risco de olhares indiscretos durante o uso?
120
70
58%
Convm que os equipamentos sejam instalados ou protegidos para reduzir o risco de ameaas ambientais, perigos e oportunidades de acesso no autorizado.
9.1
15
33%
9.2
15
33%
9.3
15
33%
268
9.4 Os itens que requerem proteo especial so isolados a fim de reduzir o nvel geral de proteo necessrio? So adotados controles para minimizar o risco de ameaas potenciais, incluindo furto; incndio; explosivos; fumaa; gua (ou falha no abastecimento); poeira; vibrao; efeitos qumicos; interferncia no suprimento de fora; radiao eletromagntica? A organizao estabelece uma poltica referente aos atos de comer, beber e fumar nas instalaes de processamento de informaes ou em sua proximidade? So monitoradas as condies ambientais quanto a fatores que poderiam afetar negativamente a operao dos equipamentos de processamento de informaes? So levados em conta o impacto de um acidente em instalaes prximas, como por exemplo um incndio no prdio vizinho, vazamento de gua do telhado ou em pavimentos do subsolo, ou uma exploso na rua? 5 x
15 5 33%
9.5
15
10
67%
9.6
15
15
100%
9.7
15
15
100%
9.8
15
10
67%
10
Suprimento de energia eltrica
135
85
63%
Existe suprimento adequado de eletricidade que atenda s 10.1 especificaes do fabricante dos equipamentos? Existem fontes alternativas de gerao 10.2 de energia?
15
10
67%
Convm que os equipamentos sejam protegidos contra falhas de energia e outras anomalias na alimentao eltrica, e que um fornecimento de energia apropriado ocorra em conformidade com as especificaes do fabricante do equipamento.
15
10
67%
269
Existem mltiplas fontes de alimentao 10.3 para evitar que o suprimento dependa de uma nica fonte? 10.4 Existe suprimento de energia prova de interrupes (UPS = sistema no-break)? 5 5 5 x x x
15 10 67%
15 15
10 5
67% 33%
10.5 Existe gerador de backup? Existe um suprimento prova de interrupes (UPS/no-break) para suportar a parada ordenada ou a 10.6 continuao da operao, no caso de equipamentos que suportam operaes crticas para a empresa? Existe planejamento de contingncia 10.7 indicando as providncias a tomar em caso de falha do UPS? So realizados testes regulares dos 10.8 equipamentos para assegurar que ele tenha a capacidade adequada? Os equipamentos so testados de 10.9 acordo com as recomendaes do fabricante?
15
10
67%
15
10
67%
15
10
67%
15
10
67%
11
Bancada de baterias, risco de exploso e falha do equipamento

5 x
15
10
67%
providenciado um gerador de backup 11.1 para que o processamento continue em caso de uma falta de fora prolongada?
15
10
67%
12
Estocagem do leo diesel e manuteno da sua qualidade, muretas de conteno

5 x
105
70
67%
Os geradores so testados regularmente 12.1 de acordo com as instrues do fabricante?
15
10
67%
270
Existe suprimento adequado de combustvel para assegurar que o 12.2 gerador possa operar durante um perodo prolongado? As chaves de fora de emergncia esto 12.3 localizadas perto das sadas de emergncia das salas de equipamentos? Existe iluminao de emergncia para o caso de falta de fora? Os prdios so equipados com pra12.5 raios? Existem filtros de proteo contra raios 12.6 em todas as linhas externas de comunicaes? Existe Gaiola de Faraday e para-raio 12.7 Franklin? 12.4 5 x
15 10 67%
5 5 5 5 5
x x x x x
15
10
67%
15 15 15 15
10 10 10 10
67% 67% 67% 67%
13
96
37
39%
Convm que o cabeamento eltrico e de telecomunicao que transmite dados ou suporta os servios de informao seja protegido contra interceptao ou dano.
As linhas de fora e as linhas de telecomunicaes que entram nos equipamentos de processamento de 13.1 informaes so subterrneas sempre que possvel ou tm proteo alternativa adequada? O cabeamento das redes protegido contra interceptao no autorizada ou 13.2 danos (pelo uso de condutes ou evitando trajetos que passem por reas pblicas)? Os cabos de fora ficam separados dos 13.3 cabos de comunicaes para evitar interferncias?
15
10
67%
15
33%
15
33%
271
Existem condutes blindados e salas ou 13.4 caixas trancadas em pontos de inspeo e pontos terminais? feito o uso de rotas ou meios de transmisso alternativos? feito o uso de cabeamento de fibras 13.6 pticas? Existem cabos com sistemas de 13.7 varredura para detectar a presena de dispositivos no autorizados? 13.5 5 5 2 5 x x x x
15 5 33%
15 6
5 2
33% 33%
15
33%
14
Manuteno dos equipamentos

Os equipamentos recebem manuteno correta para assegurar sua disponibilidade e integridade permanente? Os equipamentos recebem manuteno com a periodicidade e de acordo com as especificaes recomendadas pelo fabricante? A manuteno e os reparos do equipamento somente so executados por pessoal de manuteno autorizado? mantido um registro de todos os defeitos suspeitos ou reais e de toda a manuteno preventiva e corretiva executada? So adotados controles apropriados quando equipamentos saem do site para fins de manuteno? So cumpridas todas as exigncias estipuladas nas aplices de seguros?
90
60
67%
14.1
15
10
67%
14.2
15
10
67%
14.3
15
10
67%
Convm que a manuteno correta dos equipamentos garanta a continuidade da disponibilidade e integridade dos mesmos.
14.4
15
10
67%
14.5 14.6
5 5
15
10
67%
15
10
67%
272 15 Segurana dos equipamentos fora das instalaes 120 60 50%

Independentemente de quem seja o proprietrio, convm que o uso de qualquer equipamento para o processamento da informao fora das instalaes da organizao seja autorizado pela direo. Convm que a segurana fornecida seja equivalente quela oferecida aos equipamentos utilizados dentro da organizao para o mesmo propsito, levando-se em conta os riscos de se trabalhar fora das instalaes da organizao.
O uso de qualquer equipamento fora das instalaes da organizao, para fins de 15.1 processamento de informaes, feito somente quando autorizado pela gerncia? O grau de segurana proporcionado equivalente ao do equipamento utilizado 15.2 no site para os mesmos fins, levando em conta os riscos do trabalho fora das instalaes da organizao? O equipamento de processamento de informaes (todas as formas de computadores pessoais, agendas eletrnicas, telefones celulares, papel ou outros meios) que ficam na posse da pessoa para trabalho a domiclio ou que so transportados para fora do local normal de trabalho tem procedimento de segurana? Os equipamentos e as mdias retiradas das instalaes da organizao tem superviso em lugares pblicos? Os computadores portteis so transportados como bagagem de mo e disfarados sempre que possvel, quando se viaja? So observadas a qualquer tempo as instrues do fabricante para a proteo dos equipamentos (ex.: proteo contra a exposio a campos eletromagnticos intensos)?
15
33%
15
10
67%
15.3
15
10
67%
15.4
15
10
67%
15.5
15
33%
15.6
15
33%
273
Os controles para o trabalho a domiclio so determinados por uma avaliao dos riscos, e so adotados controles 15.7 adequados conforme necessrio (ex.: arquivos de ao trancados, poltica de mesa vazia e controles de acesso a computadores)? Existe uma cobertura de seguros 15.8 adequada para proteger o equipamento quando fora do site?
15
10
67%
15
33%
16
16.1
Segurana no descarte ou na reutilizao de equipamentos

Existem cuidados no descarte ou na reutilizao de equipamentos? 5 x
60
15
40
10
67%
67%
Sistemas de armazenagem que contenham informaes sensveis so 16.2 destrudos fisicamente ou sobregravados de maneira segura em vez de se usar a funo normal delete? Todos os itens de equipamento que contenham mdia de armazenagem, como por exemplo discos rgidos, so 16.3 verificados para garantir que todos dados sensveis e softwares licenciados tenham sido retirados ou sobregravados antes do descarte? No caso de dispositivos de armazenagem danificados que contenham dados sensveis, existe uma 16.4 avaliao dos riscos para determinar se o item deve ser destrudo, consertado ou descartado?
15
10
67%
15
10
67%
A informao pode ser exposta pelo descuido na alienao ou reutilizao de equipamentos . Convm que dispositivos de armazenamento que contenham informao sensvel sejam destrudos fisicamente ou sobrescritos de forma segura ao invs da utilizao de funespadro para a excluso.
15
10
67%
274 17 Controles gerais 45 30 67%
Existem medidas para impedir o comprometimento ou furto de 17.1 informaes e de equipamentos de processamento de informaes? As informaes e os equipamentos crticos so protegidos contra revelao 17.2 a pessoas no autorizadas ou modificao ou furto por tais pessoas? So implementados controles para 17.3 minimizar a perda ou o dano a informaes?
15
10
67%
Evitar exposio ou roubo de informao e de recursos de processamento da informao.
15
10
67%
15
10
67%
18
Poltica de mesa vazia e tela vazia
60
25
42%
A organizao adota poltica de mesa 18.1 vazia para documentos e mdia de armazenagem removveis? adotada poltica de tela vazia para os equipamentos de processamento de informaes, a fim de reduzir os riscos 18.2 de acesso no autorizado a informaes e de perda ou dano s informaes durante o horrio normal de trabalho e fora dele? So levadas em considerao as classificaes de segurana das 18.3 informaes, os riscos correspondentes e os aspectos culturais da organizao?
15
33%
A organizao deve considerar a adoo de uma poltica de mesa limpa para papis e mdias removveis e uma poltica de tela limpa para os recursos de processamento da informao, de forma a reduzir riscos de acesso no autorizado, perda e danos informao durante e fora do horrio normal de trabalho.
15
33%
15
10
67%
275
tomado cuidado para que informaes no sejam deixadas em cima de mesas, 18.4 podendo ser danificadas ou destrudas em caso de catstrofes, como incndios, inundaes ou exploses?
15
33%
19
Diretrizes de proteo
Os documentos e mdia de computador so armazenados em estantes apropriadas e trancadas em outras formas de moblia de segurana, quando no estiverem em uso, principalmente fora do horrio de expediente? Informaes empresariais sensveis ou crticas ficam trancadas (preferivelmente em um cofre ou arquivo prova de fogo) quando no em uso, principalmente quando no houver ningum no escritrio? Os computadores pessoais e terminais de computador, bem como as impressoras, ficam logged-on na ausncia do operador e protegidos por bloqueios de teclas, senhas ou outros controles quando no estiverem em uso? Os postos de correspondncia recebida e enviada e as mquinas de fax e telex sem a presena do operador so protegidos? As copiadoras so trancadas (ou protegidas de algum outro modo contra o uso no autorizado) fora do horrio normal de expediente?
72
44
61%
19.1
15
10
67%
19.2
15
10
67%
19.3
15
15
100%
19.4
33%
19.5
33%
276
Informaes sensveis ou confidenciais, 19.6 quando impressas, so retiradas das impressoras imediatamente? 5 x
15 5 33%
20
Retirada de bens
60
60
100%
Os equipamentos, as informaes ou o 20.1 software no podem sair do site sem autorizao. Isso verificado? Quando necessrio e apropriado, a 20.2 sada e a devoluo dos equipamentos registrada? So feitas inspees por amostragem 20.3 para detectar a retirada no autorizada de bens? As pessoas so informadas da 20.4 existncia de tais inspees?
15
15
100%
15
15
100%
Equipamentos, informaes ou software no devem ser retirados da organizao sem autorizao.
5 5
x x
15
15
100%
15
15
100%
EDIFICAES
21
Equipamentos de preveno e combate a incndios

5 5 5 x x x
45
30
67%
Os equipamentos e os materiais de 21.1 combate so compatveis com o ambiente? 21.2 A quantidade existente suficiente? 21.3 Existe contingncia ?
15 15 15
5 15 10
33% 100% 67%
22
22.1
Localizao dos equipamentos de combate a incndios

A localizao adequada e o acesso livre? 5 x
60
15
30
10
50%
67%
277
22.2 conferida a validade das cargas? As portas de incndio possuem sensores 22.3 e alarmes e mola para fechamento automtico? Existem detectores de fumaa sob o piso 22.4 falso e no teto? 5 5 5 x x x
15 15 10 0 67% 0%
15
10
67%
23
23.1
Distncia de equipamentos, produtos ou locais crticos

5 5 5 5 x x x x
120
15
80
15
67%
100%
Os equipamentos esto distantes das linhas de transmisso de alta voltagem? A regio segura (no sujeita a 23.2 assaltos, distrbios a outros tipos de violncia)? 23.3 A remoo de lixo diria? Existem procedimentos relacionados 23.4 com papis (isolamento, controle de acesso, proibio de fumar, etc.)? Periodicamente verificada a 23.5 necessidade de efetuar dedetizao e desratizao? As cestas de lixo so de metal com 23.6 tampa com objetivo de abafar princpios de incndio? proibida a execuo de trabalho que 23.7 gerem poeira na rea dos equipamentos? Os quadros de conexes telefnicas so 23.8 trancados para haja o acesso somente permitido ao pessoal autorizado?
15 15 15
15 10 10
100% 67% 67%
15
10
67%
15
0%
15
15
100%
15
33%
24
Condies gerais de segurana da edificao
285
125
44%
278
24.1 24.2 24.3 As paredes internas so de alvenaria at o teto? Existe vedao de passagens com portas corta-fogo? 5 5 5 x x x
15 15 15 5 5 5 33% 33% 33%
As paredes externas impedem a propagao de incndios? Existe vedao de passagens para outros recintos ou andares (dutos de ar24.4 condicionado, cabos, monta-carga, etc.)? O edifcio que abriga o Data Center foi 24.5 construdo com material retardante e resistente ao fogo? 24.6 24.7 Os detectores de fumaa so mantidos e testados de forma programada?
15
33%
5 5 5 5
x x x x
15
33%
15 15
5 5
33% 33%
Existe sensor de temperatura e umidade do ar? Existem quadros de controle pare 24.8 detectar rapidamente e localizar fogo e fumaa? As placas do piso falso so facilmente 24.9 removveis para permitir verificao de fogo e fumaa? 24.10 Existem marcaes no piso para facilitar a localizao dos detectores?
15
33%
5 5 5 5 5 5 x x
x x
15
10
67%
15
15
100%
Os extintores esto distribudos 24.11 estrategicamente em locais visveis e destacados? 24.12 O alarme de incndio toca na vigilncia? Existem hidrantes instalados em locais 24.13 estratgicos nos andares dos prdios? 24.14 Esses hidrantes e seus equipamentos auxiliares so testados regularmente?
15 15
5 0 10 10
33% 0% 67% 67%
x x
15 15
279
Havendo necessidade, os carros do 24.15 Corpo de Bombeiros podem ter acesso fcil a qualquer lado do prdio? As placas do piso falso so de material retardante? Existe reserva tcnica de gua para 24.17 hidrantes? Existem plantas de localizao dos 24.18 extintores e detectores? 24.16 Os alarmes de incndio podem ser 24.19 alimentados por baterias, no caso de falha no fornecimento de energia? 5 5 5 5 5 x x x x x
15 5 33%
15 15 15
10 10 10
67% 67% 67%
15
0%
25
25.1
Condies de gerais de segurana relacionados com a edificao

5 5 5 2 5 x x x x x
186
15
121
5
65%
33%
Existe sensoriamento de portas, janelas, dutos e superviso predial? Existe sala central de controle de 25.2 segurana bem localizada e com qualificao pessoal ? O monitoramento do permetro e reas 25.3 externas ao prdio feito via CFTV? A rea do Data Center fica em local no visvel da rua? Existe um servio de vigilncia de 24 25.5 horas, inclusive nos fins de semana e feriados? As sadas de emergncia so verificadas 25.6 em relao usabilidade periodicamente? As portas para a rea do Data Center 25.7 so mantidas fechadas? 25.4
15
33%
15 6
0 6
0% 100%
15
10
67%
5 5
x x
15
10
67%
15
10
67%
280
Existem alarmes para informar a 25.8 vigilncia a violao de portas e acessos a reas do Data Center? 25.9 25.10 25.11 25.12 25.13 feito um rodzio peridico entre os recepcionistas? A rede de iluminao est bem distribuda e de boa qualidade? O corpo de vigilantes possui um manual com procedimentos de emergncia? Existe um sistema de claviculrio no corpo de vigilantes? H um controle rigoroso das chaves das portas? 5 5 5 5 5 5 x x x x x x
15 5 33%
15 15 15 15 15
10 15 15 15 15
67% 100% 100% 100% 100%
26
Condies gerais de segurana relacionados com evacuaes

5 5 5 5 5 5 x x x x x x
90
15 15 15
35
10 5 5
39%
67% 33% 33%
26.1 Existe procedimento de evacuao? 26.2 26.3 As sadas de emergncia esto livres e desimpedidas e em boas condies?
Existe iluminao de emergncia e sinalizao adequada ( feito teste)? Existem telefones internos de 26.4 emergncia para comunicao de sinistros? Existe um sistema de alarme para fazer 26.5 a evacuao dos prdios? Existe um sistema de udio para auxiliar 26.6 nos momentos de evacuao de pessoal?
15
10
67%
15
33%
15
0%
27
Disposio e infra-estrutura das edificaes destinadas funo.
57
26
46%
281
27.1 27.2 27.3 Quadros de luz e iluminao esto localizados em local adequado? Existe controle de rudos nas imediaes do permetro? 2 2 5 5 x x x x
6 6 15 2 4 10 33% 67% 67%
Existe controle de temperatura nas imediaes do permetro? As condies de conservao e limpeza 27.4 do piso elevado e do forro so adequadas? Os incidentes de segurana so 27.5 investigados para apurao da causa e tomada de ao corretiva?
15
33%
15
33%
28
28.1 28.2
Suprimento de energia
Quedas de tenso freqentes, oscilaes e sobrecargas so evitadas? Existe estabilizador/no-break/gerador com autonomia satisfatria? 5 5 x x
120
15 15
70
10 10
58%
67% 67%
As instalaes eltricas do prdio e as instalaes destinadas aos 28.3 equipamentos de energia esto em boas condies e no oferecem perigo? 28.4 28.5 Existe exclusividade das instalaes eltricas no Data Center?
15
10
67%
5 5 5
x x x
15 15
5 10
33% 67%
O sistema de gerao prpria de energia testado periodicamente? O quadro de fora protegido e de fcil 28.6 acesso para as situaes de emergncia? Existe um controle das perdas de horas 28.7 de mquina devido a problemas de eletricidade?
15
33%
15
10
67%
282
28.8 Existe um plano de manuteno para a rede eltrica? 5 x
15 10 67%
29
Ar-condicionado
225
75
33%
A qualidade das instalaes e 29.1 manuteno dos equipamentos e nvel de rudo satisfatria? No deve haver possibilidade de entrada de gases atravs dos dutos de ar29.2 condicionado. Essa possibilidade eliminada? As chaves de emergncia desligam o 29.3 sistema de ar-condicionado? 29.4 O sistema de climatizao exclusivo? 29.5 29.6 29.7 29.8 29.9 compartilhado com rea e/ou tipo de equipamentos inadequados? O dimensionamento do equipamento de ar-condicionado adequado? H redundncias (e reservas) e simulaes peridicas? As aberturas externas (troca de ar) proporcionam uma adequada renovao? Existem dampers corta-fogo e gases no interior dos dutos? Os equipamentos de ar-condicionado esto instalados em compartimentos fechados (com acesso somente ao pessoal autorizado)? As tomadas de ar so protegidas contra contaminao? Existem alarmes nos sistemas de arcondicionado?
15
33%
15
33%
5 5 5 5 5 5 5 x x x x x
15 15 15
10 5 5 10 5
67% 33% 33% 67% 33%
15 15
15
33%
15
0%
29.10
15
10
67%
29.11 29.12
5 5 x
15 15
5 0
33% 0%
283
29.13 Os dutos do ar condicionado so de material retardante? 5 5 5 x x x
15 0 0%
Os instrumentos de comando do sistema 29.14 de ar-condicionado esto protegidos evitando manuteno no-autorizada? 29.15 Existem plantas com especificaes de toda a rede de ar-condicionado?
15
0%
15
10
67%
30
Condies gerais de segurana relacionados com suprimento de gua

O prdio est em boas condies em relao a goteiras? 5 x
225
95
42%
30.1
15
33%
O prdio est em boas condies em 30.2 relao umidade, infiltraes e vazamentos de canalizaes? garantida a continuidade do 30.3 suprimento (existncia a capacidade do reservatrio)? garantida a qualidade das instalaes 30.4 hidrulicas (vazamentos, infiltraes)? Existem plantas atualizadas da rede 30.5 hidrulica? A localizao das tubulaes e as 30.6 condies dos materiais utilizados so satisfatrias? Os telhados e a laje esto em boas 30.7 condies ? O subsolo no deve sofrer nenhum tipo 30.8 de interferncia. Isso ocorre? Quanto a drenagens sob o piso elevado, 30.9 a proteo em relao ao piso superior esta em boas condies?
15
33%
5 5 5 5 5 5 5
x x x x x x x
15
33%
15 15 15 15 15
5 10 5 5 5
33% 67% 33% 33% 33%
15
33%
284
Os encanamentos, exceto os 30.10 necessrios, foram retirados do piso falso em reas sob o computador? 30.11 Os condutes so a prova d'gua? 30.12 Existe vedao adequada contra infiltrao de gua nas portas externas? 5 5 5 5 x x x x
15 15 15 10 10 0 67% 67% 0%
Existe escoamento de gua e drenagem 30.13 adequada para impedir inundao na sala do computador? As torres de resfriamento de gua esto 30.14 construdas em local fora do prdio que abriga o computador? A sala do computador possui 30.15 impermeabilizao adequada do teto, impedindo infiltrao de gua?
15
33%
15
15
100%
15
33%
285
Segurana em Pessoas
Aderncia Geral
Segurana na definio de funes e no recrutamento de pessoal
So tomadas medidas para reduzir os riscos de falha humana, furto, fraude ou uso indevido das instalaes? As responsabilidades so atendidas desde a fase de recrutamento? Estas responsabilidades so includas nos contratos, e monitoradas enquanto durar o vnculo empregatcio? exigido do empregado o acordo de no divulgao? 5 5 5 5 x x
x
195
140
72%
60
50
83%
1.1 1.2 1.3 1.4
15
10
67% Reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalaes.
15
10
67%
15
15
100%
15
15
100% Convm que regras e responsabilidades de segurana sejam documentadas onde for apropriado, de acordo com a poltica de segurana da informao da organizao
Como incluir a segurana nas responsabilidades da funo

As responsabilidades de segurana so documentadas sempre que isso for apropriado? 5 x
45
25
56%
2.1
15
10
67%
286
2.2 So definidas responsabilidades gerais pela implementao e manuteno da poltica de segurana? So definidas responsabilidades especficas pela proteo de determinados ativos ou responsabilidades pela execuo de determinados procedimentos ou atividades de segurana? 5 x
15 10 67%
2.3
15
33%
Triagem de pessoal e poltica

So verificados os antecedentes do pessoal permanente, por ocasio do pedido de emprego? So solicitadas referncias satisfatrias, como por exemplo uma profissional e uma pessoal? verificado se o currculo apresentado pelo candidato completo e correto? So verificadas as qualificaes acadmicas e profissionais apresentadas pelo candidato? verificada a identidade do candidato? Quando um cargo proporcionar acesso a equipamentos de processamento de informaes sensveis (informaes financeiras ou informaes altamente confidenciais) verificada a situao de crdito do empregado? Para o pessoal em funes com grande autoridade, a verificao repetida periodicamente? realizado processo de triagem similar para subcontratados e pessoal temporrio?
195
110
56%
Convm que verificaes de controle sobre a equipe permanente sejam conduzidas no momento da seleo de candidatos.
3.1
15
33%
3.2 3.3 3.4 3.5
5 5 5 5
x x x x
15
33%
15
10
67%
15 15
10 10
67% 67%
3.6
15
10
67%
3.7 3.8
5 5
x x
15
33%
15
33%
287
Nos casos em que terceiros so "fornecidos" por uma agncia, o contrato com a agncia especifica claramente suas responsabilidades especficas? verificado se na triagem e nos procedimentos de notificao que ela adota se o processo foi completado ou se os seus resultados do margem a dvidas ou a preocupao? O trabalho de todo o pessoal sujeito a exames peridicos e a procedimentos de aprovao por um membro mais graduado do quadro? Os gerentes levam em conta o fato de que circunstncias pessoais dos seus subordinados podem afetar o trabalho dos mesmos, como problemas pessoais e financeiros, mudanas de comportamento ou de estilo de vida, faltas constantes e sinais de estresse ou depresso, que podem levar a fraude, furto, erros ou outras implicaes de segurana? As informaes so tratadas de acordo com a legislao apropriada, vigente na jurisdio em questo?
3.9
15
15
100%
3.10
15
10
67%
3.11
15
15
100%
3.12
15
33%
3.13
15
33%
Compromissos de confidencialidade
Usam-se compromissos de confidencialidade ou no-revelao para indicar que determinadas informaes so confidenciais ou secretas?
75
60
80%
Acordos de confidencialidade ou de no divulgao so usados para alertar que a informao confidencial ou secreta.
4.1
15
15
100%
288
4.2 Os empregados assinam um compromisso de confidencialidade como parte do seu contrato de trabalho inicial? O pessoal temporrio e os usurios externos assinam compromisso de confidencialidade antes de terem acesso a instalaes de processamento de informaes? Os compromissos de confidencialidade so revistos quando h mudanas nas condies de emprego ou no contrato? Os compromissos de confidencialidade so revistos quando os empregados esto para sair da organizao ou quando os contratos esto para terminar? 5
x 15 15 100%
4.3
15
10
67%
4.4
15
10
67%
4.5
15
10
67%
Termos e condies de emprego

Os termos e condies de emprego estipulam a responsabilidade do empregado pela segurana das informaes? Essas responsabilidades continuam em vigor durante um determinado perodo aps o trmino da relao de emprego? So levadas em conta as providncias a tomar se o empregado deixar de atender s exigncias contratuais?
60
20
33%
Convm que os termos e condies de trabalho determinem as responsabilidades dos funcionrios pela segurana da informao.
5.1
15
33%
5.2
15
33%
5.3
15
33%
289
So includas nos contratos as responsabilidades e direitos legais do empregado, com relao s leis de copyright ou legislao de proteo dos dados, a classificao e pelo tratamento dos dados sobre o empregado, as responsabilidades que se aplicam fora das instalaes da organizao e fora do horrio normal de trabalho, e fora do local de trabalho (ex.: uso de notebook)?
5.4
15
33%

assegurado que os empregados estejam em condies de apoiar a poltica de segurana da organizao no decorrer do seu trabalho normal? Os usurios recebem treinamento sobre procedimentos de segurana e sobre o uso correto das instalaes de processamento de informaes, a fim de minimizar os possveis riscos de segurana?
30
17%
Assegurar que os usurios esto cientes das ameaas e das preocupaes de segurana da informao e esto equipados para apoiar a poltica de segurana da organizao durante a execuo normal do seu trabalho.
6.1
15
33%
6.2
15
0%
Educao e treinamento em segurana das informaes

Todos os empregados da organizao e os usurios externos recebem treinamento adequado e atualizaes regulares sobre as polticas e os procedimentos da organizao, antes de terem acesso s informaes ou aos servios?
30
10
33%
Convm que todos os funcionrios da organizao e, onde for relevante, prestadores de servios recebam treinamento apropriado e atualizaes regulares sobre as polticas e procedimentos organizacionais.
7.1
15
33%
290
So includos requisitos de segurana, responsabilidades legais e controles empresariais e treinamento sobre o uso correto dos equipamentos de processamento de informaes?
7.2
15
33%
Reao a incidentes de segurana e falhas

So tomadas medidas visando minimizar os prejuzos causados por incidentes de segurana e falhas e monitorados tais incidentes? Os incidentes que afetarem a segurana so comunicados o quanto antes, atravs dos canais administrativos apropriados? Empregados e subcontratados so informados sobre os procedimentos de comunicao dos diversos tipos de incidentes, como violao de segurana, ameaas, pontos fracos ou falhas de funcionamento que podem ter impacto sobre a segurana dos ativos da organizao? exigido que se comunique quaisquer incidentes observados ou suspeitos, com a mxima rapidez, ao ponto de contato designado? estabelecido processo disciplinar formal para lidar com empregados que cometem violaes de segurana? So recolhidas provas o quanto antes, aps a ocorrncia de um incidente?
90
75
83%
8.1
15
10
67%
8.2
15
10
67%
8.3
15
15
100%
Minimizar danos originados pelos incidentes de segurana e mau funcionamento, e monitorar e aprender com tais incidentes.
8.4
15
15
100%
8.5 8.6
5 5 x
15
15
100%
15
10
67%
291 9 Comunicao de incidentes de segurana

So implementados procedimentos adequados de feedback, para assegurar que as pessoas que comunicaram incidentes sejam informadas dos resultados, depois que o incidente foi atendido e encerrado? Os incidentes so utilizados no treinamento de conscientizao dos usurios, sobre o que poderia acontecer, como reagir a tais incidentes e como evitlos no futuro?
21
11
52%
9.1
100%
Convm que os incidentes de segurana sejam reportados atravs dos canais apropriados da direo, o mais rapidamente possvel.
9.2
15
33%
10
Comunicao de pontos fracos de segurana

Os usurios de servios de informaes anotam e comunicam pontos fracos de segurana observados ou suspeitos, e quaisquer ameaas a sistemas ou servios? Essas questes so comunicadas sua gerncia ou diretamente ao seu provedor de servios, com a mxima rapidez? dito aos usurios que eles no devem, em hiptese alguma, tentar provar um ponto fraco de que suspeitam? informado que o teste de um ponto fraco poderia ser interpretado como um uso abusivo potencial do sistema?
60
15
25%
10.1
15
33% Convm que os usurios dos servios de informao sejam instrudos a registrar e notificar quaisquer fragilidades ou ameaas, ocorridas ou suspeitas, na segurana de sistemas ou servios.
10.2
15
10
67%
10.3
15
0%
10.4
15
0%
292 11 Aprendendo com os incidentes

So implementados mecanismos para permitir a quantificao e monitorao dos tipos, volumes e custos de incidentes e falhas de funcionamento? Atravs dessas informaes, so identificados incidentes ou falhas repetidas ou de alto impacto? indicada a necessidade de controles aperfeioados ou adicionais para limitar a freqncia, os danos e o custo de futuras ocorrncias, ou se leva em considerao no processo de reviso da poltica de segurana?
45
20
44%
11.1
15
33%
11.2
15
33%
Convm que existam mecanismos para permitir que tipos, quantidades e custos dos incidentes e dos maus funcionamentos sejam quantificados e monitorados.
11.3
15
10
67%
12
Existe um processo disciplinar formal para empregados que violarem as polticas e procedimentos de segurana da organizao e para a coleta de provas? Existe um procedimento que vise desencorajar empregados com tendncia para desrespeitar os procedimentos de segurana? Esse procedimento assegura um tratamento correto e justo de empregados suspeitos de cometerem violaes de segurana, graves ou persistentes?
45
30
67%
12.1
15
10
67%
12.2
15
10
67%
Convm que exista processo disciplinar formal para os funcionrios que tenham violado as polticas e procedimentos de segurana organizacional
12.3
15
10
67%
PESSOAL
293 13
13.1 13.2 13.3 13.4 13.5 13.6 13.7
Situaes de emergncia
Existe treinamento acerca de preveno de acidentes em todos os turnos? Existe uma lista de telefones/endereos de emergncia (pronto-socorro, hospitais, corpo de bombeiros, policia militar e etc)? So realizados procedimentos destinados remoo de pessoas? O atendimento mdico, em caso de emergncia eficiente? Existe esquema de planto no servio de eletricidade? O pessoal treinado em outras funes (em caso de contingncia)? Existe informao e treinamento quanto Poltica de Segurana? Existe treinamento em situaes de emergncia, primeiros socorros, planos de abandono, procedimento fora de expediente.etc? proibido fumar na sala do computador? proibido comer a beber na sala do computador? A gerncia e a superviso inspecionam as reas em horrios alternados? 5 5 5 5 5 5 5 x x x x x x x
165
15
120
10
73%
67%
15
33%
15 15 15 15 15
10 15 15 15 0
67% 100% 100% 100% 0%
Polticas de Segurana em pessoas em situaes de emergncia
13.8 13.9 13.10 13.11
5 5 5 5
x x x x
15
10
67%
15 15 15
15 15 10
100% 100% 67%
14
Casos de incndio
120
75
63%
Polticas de Segurana em pessoas em caso de incndio
294
14.1 14.2 14.3 14.4 14.5 Existem funcionrios treinados em todos os turnos? realizado treinamento de evacuao do edifcio? realizado treinamento acerca de salvamento de ativos (documentos, meios magnticos)? feita divulgao/exibio dos telefones do corpo de bombeiros? Os vigilantes so treinados para combater incndios que possam ocorrer fora do expediente normal? Os funcionrios so treinados para combater incndios que possam ocorrer na rea do computador? mantido um relacionamento formal com a guarnio do Corpo de Bombeiros que atende a regio? Existem brigadas de incndio organizadas? 5 5 5 5 5 x x x x x
15 15 15 10 100% 67%
15
33%
15
33%
15
15
100%
14.6
15
10
67%
14.7 14.8
5 5 x
15
15
100%
15
0%
15
15.1 15.2 15.3 15.4
Segurana funcional
proibida (e feito um controle) a entrada de funcionrios demitidos? feito um acompanhamento de funcionrios descontentes ou com problemas financeiros a pessoais? Os antecedentes de funcionrios novos so verificados? Periodicamente so verificados os antecedentes criminais dos vigilantes? 5 5 5 5 x x x x
90
15
65
15
72%
100%
Poltica de Segurana em Pessoas em relao segurana funcional
15
33%
15 15
5 15
33% 100%
295
15.5 Todos os funcionrios so instrudos quanto a medidas de segurana adotadas? O sistema de admisses demisses, entrega de senhas e materiais sigilosos: crachs, catlogos, tabelas de preos, contratos e outros so feitos de forma correta? 5 x
15 10 67%
15.6
15
15
100%
296
Segurana Organizacional
No Item Perguntas Peso 0 1 2 3 Referncia Apurados Sim
Valores
Aderncia Legenda
Aderncia Geral
651
322
49%

Gerenciar a segurana da informao na organizao.
Comit de Segurana
120
40
33%
Existem comits de administrao de 1.1 segurana da informao com lderes gerenciais? Atualmente, so estabelecidos 1.2 contatos com especialistas externos em segurana? Caso exista o comit, ele possui 1.3 abordagem multidisciplinar em relao segurana? Dentre as atribuies do Comit est a reviso e aprovao da poltica de 1.4 segurana das informaes e das responsabilidades globais? A monitorao de mudanas 1.5 significativas na exposio dos ativos de informao feita? A reviso e monitorao de incidentes 1.6 de segurana tem sido tratada pelo comit de forma adequada?
15
33%
15
10
67%
15
0%
15
0%
15
10
67%
15
33%
297
So realizadas iniciativas relevantes 1.7 para aperfeioar a segurana das informaes? Existe um gerente responsvel por 1.8 todas as atividades relacionadas com a segurana? 2 5 x
15 10 67%
15
0%
Coordenao e Responsabilidades da Segurana das Informaes

Foram estabelecidos papis e responsabilidades especficas para a segurana das informaes em toda a organizao? Foram estabelecidas metodologias e processos especficos de segurana das informaes, como por exemplo a avaliao de riscos e sistema de classificao das informaes? Foram estabelecidas e apoiadas iniciativas de segurana das informaes em mbito de toda a organizao, como por exemplo programa de conscientizao de segurana? Atualmente, a segurana faz parte do processo do planejamento das informaes? avaliada a adequao e coordenada a implementao de controles especficos de segurana das informaes para novos sistemas ou servios? Os incidentes de segurana das informaes so tratados de forma correta?
246
137
56%
A segurana da informao uma responsabilidade de negcios compartilhada por todos os membros da equipe da direo.
2.1
15
33%
2.2
15
33%
2.3
33%
2.4
15
10
67%
2.5
15
10
67%
2.6
15
33%
298
As responsabilidades pela proteo de ativos individuais e pela execuo de 2.7 processos especficos de segurana esto claramente definidas? 2.8 A poltica atual fornece diretrizes gerais sobre a atribuio de papis e responsabilidades de segurana dentro da organizao? O gerente de segurana da informao assume responsabilidade global pelo desenvolvimento e implementao da segurana e concedido apoio identificao e implementao dos controles? Existe um gestor para cada ativo de informao, que o responsvel pela sua segurana no dia-a-dia? As reas de responsabilidade de cada gerente que esto claramente definidas ? Os diversos ativos e processos de segurana associados a cada sistema individual esto identificados e claramente definidos? No caso do gerente responsvel por cada ativo ou processo de segurana, os detalhes dessa responsabilidade esto documentados? Os nveis de autorizao esto claramente definidos e documentados? Atualmente, estabelecido um processo de autorizao gerencial para as instalaes de processamento de informaes?
15
10
67%
15
33%
2.9
15
33%
2.10
15
10
67%
2.11
15
33%
2.12
15
10
67%
2.13
15
10
67%
2.14
15
15
100%
2.15
15
15
100%
299
A administrao de usurios, 2.16 autorizao, sua finalidade e utilizao so feitas de forma segura? concedida autorizao para o uso de 2.17 equipamentos pessoais de forma criteriosa? 3 5 x
15 10 67%
15
33%
Consultoria Interna
Existe um consultor interno de segurana experiente? 5 x
75
15
45
5
60%
33%
3.1
Essa pessoa tambm tem acesso a consultores externos apropriados para 3.2 lhe dar assistncia em assuntos fora de sua rea de experincia? O consultor interno tem acesso direto 3.3 a todos os nveis de gerncia dentro da organizao? Os casos de suspeita de incidente ou 3.4 violao de segurana so tratados de forma correta? Investigaes internas de segurana executadas sob o controle da 3.5 administrao podem requerer consultoria para aconselhar, liderar ou realizar a investigao. Isso ocorre? 4
15
10
67%
15
10
67%
Consultoria especializada em segurana normalmente necessria em diversas organizaes.
15
10
67%
15
10
67%
Cooperao entre Organizaes
30
10
33%
Convm que sejam mantidos contatos apropriados com autoridades legais, organismos reguladores, provedores de servio de informao e operadores de telecomunicaes, de forma a garantir
300
Atualmente, so mantidos contatos com autoridades policiais, rgos reguladores, provedores de servios de informaes e operadoras de 4.1 telecomunicaes para garantir a tomada rpida de providncias e a obteno de orientao em caso de um incidente de segurana? Existe filiao a associaes de 4.2 segurana ? 5 telecomunicaes, de forma a garantir que aes adequadas e apoio especializado possam ser rapidamente acionados na ocorrncia de incidentes de segurana.
15
33%
15
33%
Reviso da Segurana
15
0%
Convm que a sua implementao seja analisada criticamente, de forma independente, para fornecer garantia de que as prticas da organizao refletem apropriadamente a poltica, e que esta adequada e eficiente
A implementao da poltica de segurana deve ser revista por um rgo independente, para dar a garantia de que as prticas 5.1 organizacionais refletem corretamente a poltica e que elas so viveis e eficazes. J foi realizada alguma reviso na poltica atual? 6
15
0%
Acesso de Terceiros
5 x
165
15
90
10
55%
67%
Manter a segurana dos recursos de processamento de informao e ativos de informao organizacionais acessados por prestadores de servios.
O controle de acesso fsico de terceiros feito de forma correta? Nos casos em que os negcios exigem o acesso de terceiros, deve ser feita uma avaliao de riscos para 6.2 determinar as implicaes de segurana e os requisitos de controle. J foi desenvolvida essa anlise ? Os controles esto acertados e 6.3 definidos em contrato com o terceiro? 6.1
15
33%
15
10
67%
301
Os contratos que concedem acesso a terceiros incluem disposies para a designao de outros participantes qualificados e as condies para o seu acesso? Existem terceiros que prestam servios a organizao e no esto localizados no site, mas podem ter acesso fsico e lgico? A administrao da segurana est adequada e no est sendo colocada em risco pelo acesso de terceiros? Existe uma poltica definida para terceiros que ficam localizados no site durante um determinado tempo, definido em contrato como: pessoal de manuteno e suporte de hardware e software; pessoal de limpeza, fornecimento de refeies, guardas de segurana e outros servios de suporte terceirizados, estagirios e outras nomeaes ocasionais em curto prazo e consultores? O acesso de terceiros s instalaes de processamento de informaes da organizao baseado em contrato formal que contenha referncia a todos os requisitos de segurana para assegurar a conformidade com as polticas e normas de segurana da organizao?
6.4
15
33%
6.5
15
33%
6.6
15
10
67%
6.7
15
10
67%
6.8
15
33%
Est especificado no contrato que a organizao receber indenizao por 6.9 parte de seu fornecedor, caso ocorra algum incidente causado por algum funcionrio do prestador de servios?
15
10
67%
302
Est especificado no contrato que a organizao ter direito de monitorar e revogar as atividades de usurio, o 6.10 direito de auditar as responsabilidades contratuais ou de fazer com que tal auditoria seja realizada por um terceiro? Nos casos em que a responsabilidade pelo processamento das informaes 6.11 foi confiada a uma organizao externa, existe a tentativa de garantir a segurana das informaes?
15
10
67%
15
10
67%
303
Conformidade
Aderncia Geral
285
183
64%
Conformidade com exigncias legais
51
46
90%
Existe a preocupao de evitar violaes de qualquer lei penal ou civil, 1.1 obrigaes decorrentes de estatutos, regulamentos ou contratos e quaisquer requisitos de segurana? A organizao est sujeita a exigncias de segurana decorrentes de estatutos, 1.2 regulamentos ou contratos. Isso observado? Existe uma consultoria sobre exigncias legais especficas junto ao 1.3 departamento jurdico da organizao ou com advogados externos devidamente qualificados? So analisadas as exigncias legislativas que variam de um Pas para 1.4 outro? (fluxos de dados que atravessam fronteiras)
15
15
100%
15
10
67%
Evitar violaes de leis penais ou cveis, de obrigaes decorrentes de estatutos, regulamentos ou contratos e de quaisquer requisitos de segurana
15
15
100%
100%
304 2 Identificao da legislao aplicvel 30 30 100%

Convm que estatutos, regulamentaes ou clusulas contratuais relevantes sejam explicitamente definidos e documentados para cada sistema de informao.
So observadas as exigncias relevantes impostas por lei, por rgos 2.1 reguladores ou por contrato, definidas explicitamente e documentadas por sistema de informao? Os controles especficos e as responsabilidades individuais pelo 2.2 atendimento a estas exigncias esto definidos e documentados?
15
15
100%
15
15
100%
Preservao dos registros da organizao
174
92
53%
Convm que registros importantes de uma organizao sejam protegidos contra perda, destruio e falsificao.
Os registros da organizao so 3.1 protegidos contra perda, destruio e falsificao? Os registros so arquivados de modo 3.2 seguro para atender a exigncias da lei ou de rgos reguladores? Os registros que podem ser exigidos para comprovar que a organizao opera de acordo com as normas da lei ou de rgos reguladores ou para assegurar uma defesa adequada em um 3.3 eventual processo civil ou criminal ou para confirmar a situao financeira de uma organizao para os seus acionistas, scios e auditores, esto protegidos de forma segura?
15
33%
15
33%
15
33%
305
observado o perodo de reteno das informaes e dos dados a serem 3.4 conservados que so estabelecidos pelas leis ou regulamentos do pas? Registros contbeis, de bancos de dados, de transaes, de auditoria e procedimentos operacionais so protegidos de forma segura? Cada tipo de registro tem exigncias especficas quanto a perodo de reteno e tipo de veculo de armazenagem, como: papel, microficha, suportes magnticos ou pticos. Isso observado? So consideradas as possibilidades de deteriorao dos suportes utilizados na armazenagem de registros? Nos casos de armazenagem por meios eletrnicos, esto inclusos os procedimentos para assegurar a capacidade de acessar dados legibilidade dos suportes fsicos como dos formatos - durante todo o perodo de reteno, como garantia contra a perda decorrente de futuras mudanas de tecnologia? Atualmente so escolhidos sistemas de armazenagem em que os dados necessrios possam ser recuperados de um modo aceitvel para um tribunal? Os registros exigidos podem ser recuperados dentro de um tempo aceitvel e num formato aceitvel? realizada destruio apropriada dos registros aps a expirao de perodo, se no forem mais necessrios organizao?
15
15
100%
3.5
15
33%
3.6
15
10
67%
3.7
67%
3.8
15
10
67%
3.9
15
33%
3.10
100%
306
Existem diretrizes sobre a reteno, 3.11 armazenagem, manuseio e descarte de registros e informaes? Existe um programa de reteno que identifique os tipos dos registros 3.12 essenciais e por quanto tempo eles devem ser conservados? mantido um inventrio das fontes de 3.13 informaes-chave? Foram implementados controles de segurana apropriados para proteger 3.14 registros e informaes essenciais contra perda, destruio e falsificao? 2
x 6 6 100%
100%
15
33%
15
33%
30
15
50%
Convm que gestores garantam que todos os procedimentos de segurana dentro da sua rea de responsabilidade esto sendo executados corretamente.
Os gerentes podem assegurar que todos os procedimentos de segurana 4.1 dentro de sua rea de responsabilidade so executados corretamente? realizada regularmente uma reviso em todas as reas da organizao para 4.2 assegurar conformidade com as polticas e normas de segurana?
15
10
67%
15
33%
307
APNDICE D
308
Carta de conveno da metodologia utilizada

Braslia, 15 de junho de 2004. Referncia: Anlise de Riscos de Segurana Fsica em Conformidade com a ISO/IEC 17799 de Segurana Fsica em Conformidade com a ISO/IEC 17799. Conforme acordado, servimo-nos da presente para formalizar a proposta sobre a metodologia da Anlise de Riscos de Segurana Fsica em Conformidade com a ISO/IEC 17799, conforme abaixo detalhada, a ser efetuada nesse Departamento de Informtica. METODOLOGIA DO QUESTIONRIO: Existe um questionrio para cada um dos mdulos da norma utilizados na anlise, so eles: Poltica de segurana Segurana organizacional Classificao e controle dos ativos de informao Segurana em pessoas Segurana fsica e do ambiente Cada mdulo dividido em itens em subitens.
Perguntas: So feitas perguntas extradas da norma ISO/IEC 17799. Peso: So dados pesos 0, 2 ou 5 conforme a relevncia (pesos dados pelo cliente)
309
Situao: (pontuao dada pelo cliente) No Sim Valores: Referncia: Maior pontuao possvel, partindo do peso dado, multiplicando-o com a situao. Apurados: o produto do peso (0, 2 ou 5) pela situao (0,1 ,2 ou 3). O ndice de conformidade varia de 0 a 15 (dessa forma apresentado o ndice de conformidade do item e do subitem) Aderncia: Percentual de aderncia do mdulo, item e subitem. Legenda: Objetivo do item. 2: Presena parcial 3: Presena total 0: Ausncia total 1: Presena inexpressiva
METODOLOGIA DA ANLISE: Anlise on-site:
310
Fotos: so tiradas fotos de pontos relevantes como vulnerabilidades, reas crticas, ambientes, todas as dependncias do Data Center e todos os andares do prdio, naquilo que poderia ser de interesse da anlise.
Vistorias e levantamentos: So feitas vistorias nos ambientes para colher informaes relevantes.
Entrevistas: So feitas entrevistas com diretores, gerentes e funcionrios (inclusive terceirizados). utilizado um questionrio (baseado na norma ISO/IEC 17799).
Situao Atual: apresentada a situao encontrada na empresa em relao a Segurana da Informao, levando-se em considerao o que pode ser mantido, o que pode ser aperfeioado e o que deve ser mudado.
Recomendaes: So feitas recomendaes de melhorias na Segurana da Informao, de acordo com o verificado na situao atual.
Plano de Ao: So recomendaes mais profundas visando melhorias na Segurana da Informao da empresa, que ajudam a orientar e determinar a atuao gerencial apropriada s prioridades para o gerenciamento dos riscos Segurana da Informao. Serve como auxlio na implementao de controles que oferecem proteo contra os riscos identificados.
Observaes: A anlise baseada na Norma ISO/IEC 17799.
311
A anlise atende ao Decreto Federal 3.505 e Lei 2.572 do GDF. O objetivo da metodologia identificar as necessidades de Segurana da Informao apropriadas para a empresa analisada.
De acordo, _______________________ Electra
312
ANEXO A
313
Presidncia da Repblica
Casa Civil
Subchefia para Assuntos Jurdicos
DECRETO No 3.505, DE 13 DE JUNHO DE 2000. Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal. O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art. o 84, inciso IV, da Constituio, e tendo em vista o disposto na Lei n 8.159, de 8 de o janeiro de 1991, e no Decreto n 2.910, de 29 de dezembro de 1998, DECRETA: Art. 1 Fica instituda a Poltica de Segurana da Informao nos rgos e nas entidades da Administrao Pblica Federal, que tem como pressupostos bsicos: I - assegurar a garantia ao direito individual e coletivo das pessoas, inviolabilidade da sua intimidade e ao sigilo da correspondncia e das comunicaes, nos termos previstos na Constituio; II - proteo de assuntos que meream tratamento especial; III - capacitao dos segmentos das tecnologias sensveis; IV - uso soberano de mecanismos de segurana da informao, com o domnio de tecnologias sensveis e duais; V - criao, desenvolvimento e manuteno de mentalidade de segurana da informao; VI - capacitao cientfico-tecnolgica do Pas para uso da criptografia na segurana e defesa do Estado; e VII - conscientizao dos rgos e das entidades da Administrao Pblica Federal sobre a importncia das informaes processadas e sobre o risco da sua vulnerabilidade. Art. 2 Para efeitos da Poltica de Segurana da Informao, ficam estabelecidas as seguintes conceituaes: I - Certificado de Conformidade: garantia formal de que um produto ou servio, devidamente identificado, est em conformidade com uma norma legal; II - Segurana da Informao: proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao desautorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaas a seu desenvolvimento.
o o
314
Art. 3 So objetivos da Poltica da Informao: I - dotar os rgos e as entidades da Administrao Pblica Federal de instrumentos jurdicos, normativos e organizacionais que os capacitem cientfica, tecnolgica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o no-repdio e a disponibilidade dos dados e das informaes tratadas, classificadas e sensveis; II - eliminar a dependncia externa em relao a sistemas, equipamentos, dispositivos e atividades vinculadas segurana dos sistemas de informao; III - promover a capacitao de recursos humanos para o desenvolvimento de competncia cientfico-tecnolgica em segurana da informao; IV - estabelecer normas jurdicas necessrias efetiva implementao da segurana da informao; V - promover as aes necessrias implementao e manuteno da segurana da informao; VI - promover o intercmbio cientfico-tecnolgico entre os rgos e as entidades da Administrao Pblica Federal e as instituies pblicas e privadas, sobre as atividades de segurana da informao; VII - promover a capacitao industrial do Pas com vistas sua autonomia no desenvolvimento e na fabricao de produtos que incorporem recursos criptogrficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de servios relacionados com a segurana da informao; e VIII - assegurar a interoperabilidade entre os sistemas de segurana da informao. Art. 4 Para os fins deste Decreto, cabe Secretaria-Executiva do Conselho de Defesa Nacional, assessorada pelo Comit Gestor da Segurana da Informao de o que trata o art. 6 , adotar as seguintes diretrizes: I - elaborar e implementar programas destinados conscientizao e capacitao dos recursos humanos que sero utilizados na consecuo dos objetivos de que trata o artigo anterior, visando garantir a adequada articulao entre os rgos e as entidades da Administrao Pblica Federal; II - estabelecer programas destinados formao e ao aprimoramento dos recursos humanos, com vistas definio e implementao de mecanismos capazes de fixar e fortalecer as equipes de pesquisa e desenvolvimento, especializadas em todos os campos da segurana da informao; III - propor regulamentao sobre matrias afetas segurana da informao nos rgos e nas entidades da Administrao Pblica Federal; IV - estabelecer normas relativas implementao da Poltica Nacional de Telecomunicaes, inclusive sobre os servios prestados em telecomunicaes, para assegurar, de modo alternativo, a permanente disponibilizao dos dados e das informaes de interesse para a defesa nacional; V - acompanhar, em mbito nacional e internacional, a evoluo doutrinria e tecnolgica das atividades inerentes segurana da informao;
o
315
VI - orientar a conduo da Poltica de Segurana da Informao j existente ou a ser implementada; VII - realizar auditoria nos rgos e nas entidades da Administrao Pblica Federal, envolvidas com a poltica de segurana da informao, no intuito de aferir o nvel de segurana dos respectivos sistemas de informao; VIII - estabelecer normas, padres, nveis, tipos e demais aspectos relacionados ao emprego dos produtos que incorporem recursos critptogrficos, de modo a assegurar a confidencialidade, a autenticidade, a integridade e o no-repdio, assim como a interoperabilidade entre os Sistemas de Segurana da Informao; IX - estabelecer as normas gerais para o uso e a comercializao dos recursos criptogrficos pelos rgos e pelas entidades da Administrao Pblica Federal, dando-se preferncia, em princpio, no emprego de tais recursos, a produtos de origem nacional; X - estabelecer normas, padres e demais aspectos necessrios para assegurar a confidencialidade dos dados e das informaes, em vista da possibilidade de deteco de emanaes eletromagnticas, inclusive as provenientes de recursos computacionais; XI - estabelecer as normas inerentes implantao dos instrumentos e mecanismos necessrios emisso de certificados de conformidade no tocante aos produtos que incorporem recursos criptogrficos; XII - desenvolver sistema de classificao de dados e informaes, com vistas garantia dos nveis de segurana desejados, assim como normatizao do acesso s informaes; XIII - estabelecer as normas relativas implementao dos Sistemas de Segurana da Informao, com vistas a garantir a sua interoperabilidade e a obteno dos nveis de segurana desejados, assim como assegurar a permanente disponibilizao dos dados e das informaes de interesse para a defesa nacional; e XIV - conceber, especificar e coordenar a implementao da infra-estrutura de chaves pblicas a serem utilizadas pelos rgos e pelas entidades da Administrao Pblica Federal. Art. 5 Agncia Brasileira de Inteligncia - ABIN, por intermdio do Centro de Pesquisa e Desenvolvimento para a Segurana das Comunicaes - CEPESC, competir: I - apoiar a Secretaria-Executiva do Conselho de Defesa Nacional no tocante a atividades de carter cientfico e tecnolgico relacionadas segurana da informao; e II - integrar comits, cmaras tcnicas, permanentes ou no, assim como equipes e grupos de estudo relacionados ao desenvolvimento das suas atribuies de assessoramento. Art. 6 Fica institudo o Comit Gestor da Segurana da Informao, com atribuio de assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na consecuo das diretrizes da Poltica de Segurana da Informao nos rgos e nas entidades da Administrao Pblica Federal, bem como na avaliao e anlise de assuntos relativos aos objetivos estabelecidos neste Decreto.
o o
316
Art. 7 O Comit ser integrado por um representante de cada Ministrio e rgos a seguir indicados: I - Ministrio da Justia; II - Ministrio da Defesa; III - Ministrio das Relaes Exteriores; IV - Ministrio da Fazenda; V - Ministrio da Previdncia e Assistncia Social; VI - Ministrio da Sade; VII - Ministrio do Desenvolvimento, Indstria e Comrcio Exterior; VIII - Ministrio do Planejamento, Oramento e Gesto; IX - Ministrio das Comunicaes; X - Ministrio da Cincia e Tecnologia; XI - Casa Civil da Presidncia da Repblica; e XII - Gabinete de Segurana Institucional da Presidncia da Repblica, que o coordenar. 1 Os membros do Comit Gestor sero designados pelo Chefe do Gabinete de Segurana Institucional da Presidncia da Repblica, mediante indicao dos titulares dos Ministrios e rgos representados. 2 Os membros do Comit Gestor no podero participar de processos similares de iniciativa do setor privado, exceto nos casos por ele julgados imprescindveis para atender aos interesses da defesa nacional e aps aprovao pelo Gabinete de Segurana Institucional da Presidncia da Repblica. 3 A participao no Comit no enseja remunerao de qualquer espcie, sendo considerada servio pblico relevante. 4 A organizao e o funcionamento do Comit sero dispostos em regimento interno por ele aprovado. 5 Caso necessrio, o Comit Gestor poder propor a alterao de sua composio. Art. 8 Este Decreto entra em vigor na data de sua publicao. Braslia, 13 de junho de 2000; 179 da Independncia e 112 da Repblica. FERNANDO HENRIQUE CARDOSO Jos Gregori Geraldo Magela da Cruz Quinto Luiz Felipe Lampreia Pedro Malan Waldeck Ornlas
o o o o o o o o
317
Jos Serra Alcides Lopes Tpias Martus Tavares Pimenta da Veiga Ronaldo Mota Sardenberg Pedro Parente Alberto Mendes Cardoso Publicado no D.O. de 14.6.2000
318
Lei 2.572
LEI N 2.572, DE 20 DE JULHO DE 2000 Dispe sobre a preveno das entidades pblicas do Distrito Federal com relao aos procedimentos praticados na rea de informtica. O GOVERNADOR DO DISTRITO FEDERAL, FAO SABER QUE A CMARA LEGISLATIVA DO DISTRITO FEDERAL DECRETA E EU SANCIONO A SEGUINTE LEI: CAPTULO I DOS PRINCPIOS QUE REGULAM AS CONDIES DE SEGURANA DA TECNOLOGIA DA INFORMAO E DE INFORMAO COMO FONTE DE DADOS Art. 1 As entidades pblicas do Distrito Federal devem promover a segurana da informao, mediante a garantia da disponibilidade, integridade, confiabilidade e legalidade das informaes que suportam os seus processos operacionais. Art. 2 A garantia da disponibilidade deve ser de forma preventiva e abranger os aspectos fsicos, lgicos e tcnicos. CAPTULO II DOS PRINCPIOS DA PROTEO PREVENTIVA DA INFORMAO Seo I Da Segurana Fsica Art. 3 A proteo fsica dos equipamentos, servidores de rede, telecomunicao e outros deve ser garantida mediante o acondicionamento em ambientes ou compartimentos e controle de acesso adequados. Pargrafo nico. Entende-se por ambiente adequado aquele que proteja os equipamentos crticos de informtica e informaes vitais segundo exigncias mnimas de temperatura e umidade, ou seja, 20C e 85% de umidade relativa do ar. Seo II Da Segurana Lgica Art. 4 A proteo lgica dos sistemas deve ser garantida mediante a definio dos papis dos usurios e das regras de acesso informao, respeitados os critrios de garantia dos direitos individuais e coletivos de privacidade e segurana de pessoas fsicas e jurdicas. Seo III Da Proteo de Dados e Programas
319
Art. 5 Os padres e solues de segurana de dados de programas devem garantir a sua proteo quanto disposio dos usurios, enquanto instalados nos servidores de arquivos, ou nas estaes de nvel de descrio no registro dos eventos e na preservao contra vrus de computadores. 1 A proteo de dados e programas instalados no servidor de arquivos deve garantir padres de segurana contra leitura, execuo, gravao, recepo e criao por parte de pessoas no autorizadas. 2 Qualquer pessoa, fsica ou jurdica, tem o direito de interpelar o proprietrio de redes de computadores ou provedor de servios para saber informaes ao seu respeito e o respectivo teor. Art. 6 O acesso de terceiros, no autorizados pelos respectivos interessados, a informaes privadas mantidas em rede de computadores depender de prvia autorizao judicial. CAPTULO III DOS ASPECTOS DE RECUPERAO DA INFORMAO Art. 7 O gerenciador e administrador de ambientes informatizados deve providenciar anlise de risco fsico e lgico, abrangendo padres definidos para acondicionamento de equipamentos de processamento de dados e mdias magnticas, e identificando possveis prejuzos. Art. 8 O administrador dos ambientes de tecnologia da informao dever desenvolver plano de contingncia. Pargrafo nico. Os planos de contingncia devem conter as alternativas para os processos e as fases de pr-interrupo, interrupo e ps-interrupo. CAPTULO IV DOS COMPORTAMENTOS IRREGULARES Seo I Disposies Preliminares Art. 9 Os comportamentos discriminados nos arts. 10 a 16 desta Lei sero apurados na forma estabelecida na Lei n 8.112, de 11 de dezembro de 1990, quando praticados na forma abaixo: I _ com considervel prejuzo para a entidade; II _ com intuito de lucro ou vantagem de qualquer espcie, prprio ou de terceiros; III _ com abuso de confiana; IV _ por motivo ftil; V _ com o uso indevido de senha ou processo de identificao de terceiros; VI _ com a utilizao de qualquer outro meio fraudulento. Pargrafo nico. Aplicar-se- o disposto no caput quando os comportamentos se verificarem em rgos ou entidades da administrao direta ou indireta da Unio, dos Estados e do Distrito Federal, empresas concessionrias de servios pblicos, fundaes institudas ou mantidas pelo Poder Pblico, empresas de servios sociais autnomos, instituies financeiras ou empresas que explorem ramo de atividade controlada pelo Poder Pblico, localizados no Distrito Federal.
320
Seo II Da Negligncia ou Omisso de Informaes Art. 10. Negligenciar ou omitir informaes no tratamento, guarda e manuseio dos sistemas e redes de computadores e dados. Seo III Da Alterao de Dados ou Programas de Computador Art. 11. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dados ou programas de computador, de forma indevida ou no autorizada. Seo IV Do Acesso ou da Obteno Indevidos ou No Autorizados de Dados ou Instruo de Computador Art. 12. Obter acesso, manter ou fornecer a terceiro, dados, instruo ou qualquer meio de identificao ou acesso a computador ou a rede de computadores, de forma indevida ou no autorizada. Seo V Da Alterao de Senha ou Mecanismo de Acesso a Programa de Computador ou Dados Art. 13. Apagar, destruir, alterar ou de qualquer forma inutilizar senha ou qualquer outro mecanismo de acesso a computador, programa de computador ou dados, de forma indevida ou no autorizada. Seo VI Da Violao de Segredos Armazenados em Computador, Meio Eletrnico de Natureza Magntica, ptica ou Similar Art. 14. Obter segredos das entidades de que trata esta Lei, da indstria ou do comrcio, ou informaes pessoais armazenadas em computador, rede de computadores, meio eletrnico de natureza magntica, ptica ou similar, de forma indevida ou no autorizada. Seo VII Da Criao, do Desenvolvimento e da Insero em Computador de Dados ou Programa de Computador com Fins Nocivos Art. 15. Criar, desenvolver ou inserir dados ou programa em computador ou rede de computadores, de forma indevida ou no autorizada, com a finalidade de apagar, destruir, inutilizar ou modificar dados ou programa de computador, ou de qualquer forma dificultar ou impossibilitar, total ou parcialmente, a utilizao de computador ou rede de computadores. Seo VIII Da Veiculao de Pornografia por Meio de Rede de Computadores Art. 16. Disseminar servio ou informao de carter pornogrfico em rede de computadores, sem exibir previamente, de forma facilmente visvel e destacada, aviso sobre a sua natureza, indicando o seu contedo. CAPTULO V DISPOSIES FINAIS
321
Art. 17. Sero aplicadas as sanes dispostas na Lei n 8.112, de 11 de dezembro de 1990, queles que adotarem os comportamentos definidos na presente Lei. Art. 18. Esta Lei regula os procedimentos relativos a informtica sem prejuzo das demais cominaes previstas em outros diplomas legais. Art. 19. O Poder Executivo regulamentar esta Lei no prazo de trinta dias. Art. 20. Esta Lei entra em vigor na data de sua publicao. Art. 21. Revogam-se as disposies em contrrio. Publicada no DODF de 21.07.2000.
322
ANEXO B
323
GLOSSRIO
Claviculrio: Chaveiro. (http://www.priberam.pt/dlpo/definir_resultados.aspx) . Damper: So usados para proteo interna dos dutos de ventilao, impedindo a propagao pelas aberturas nos demais ambientes.
(http://www.reffibra.com.br/Firevent.htm, 2004). Insuflamento: Ato de insuflar; encher de ar, soprando.
(http://www.priberam.pt/dlpo/definir_resultados.aspx). Multiplexador: Dispositivo cuja funo multiplexar sinais permitindo a sua transmisso em um mesmo meio de transmisso. (http://www.teleco.com.br). Risco: lat.Perigo ou possibilidade de perigo. jur. Possibilidade de perda ou responsabilidade pelo dano. (Dicionrio Aurlio 2a Edio, p.1512). Segurana: 1. Ato ou efeito de segurar. 2. Estado, qualidade ou condio de seguro. 3. Condio daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convico. (Dicionrio Aurlio 2a Edio, p.1563). Sprinkler: pulverizador, regador; extintor de incndio; carro de irrigao; vaporizador; disperso, espalhado (http://www1.uol.com.br/babylon, 2004). Time lapse: O Time Lapse um aparelho utilizado para gravao de imagens. um aparelho semelhante ao vdeo cassete e tem capacidade mdia de gravao de 960 horas consecutivas. (Fonte: http://www.aemp.com.br, 2004).
Salgado, Ivan Jorge Chueri. Anlise de segurana fsica em conformidade com a norma ISO/IEC 17799 / Ivan Jorge Chueri Salgado, Rivanildo Sanches da Silva, Ronaldo Bandeira; Professor orientador Reinaldo Mangialardo. Guar : [s. n.], 2004. 325 f. : il. Monografia (Graduao em Tecnologia em Segurana da Informao) Instituto Cientfico de Ensino Superior e Pesquisa, 2004.
I. Ttulo. II. Mangialardo, Reinaldo.

Análise de Segurança Física em Conformidade Com A Norma ABNT NBR ISO - IEC 17799

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Análise de Segurança Física em Conformidade Com A Norma ABNT NBR ISO - IEC 17799

Încărcat de

Drepturi de autor:

Formate disponibile

FACULDADES INTEGRADAS ICESP

CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO

IVAN JORGE CHUERI SALGADO RONALDO BANDEIRA RIVANILDO SANCHES DA SILVA

IVAN JORGE CHUERI SALGADO RONALDO BANDEIRA RIVANILDO SANCHES DA SILVA

Orientador: Prof. Reinaldo Mangialardo

FACULDADES INTEGRADAS ICESP CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO

IVAN JORGE CHUERI SALGADO RONALDO BANDEIRA RIVANILDO SANCHES DA SILVA

Tabela 1 - Resultado estimado decorrentes da implementao do plano de ao................. 229

Fonte: www.febraban.org.br/Palestras em 02/11/2004 Figura 1 - Evoluo da Norma BS 17799

Figura 2 - Principais ameaas segurana da informao

Figura 3 - Principais pontos de invaso

Figura 4 - Principais medidas de segurana j implementadas

Relacionamento com outros trabalhos

Objetivos e finalidades da pesquisa

Relao Custo x Benefcio

Identificar os fatores na infra-estrutura de suporte e monitorao que influenciam na segurana fsica;

1.3.1 Descrio das reas envolvidas

Figura 5 - Organograma Geral da ELECTRA

reas que sero objetos de estudo

por conter documentos, equipamentos

Condies de acesso s sadas de emergncia, sinalizao e proteo contra entrada no permitida;

Estrutura de Segurana Existente

As perguntas so baseadas da norma ISO/IEC 17799. Definio dos parmetros da avaliao:

Sim atende 2 (dois) Presena parcial 3 (trs) Presena total

SEGURANA E SEUS COMPONENTES

Segundo Moreira (2001, p.9):

Estes captulos sero desenvolvidos mais frente nesta obra.

Como proteger a informao

Segundo Moreira (2001, p.9):

Normas, leis e decretos

ficando desamparadas as empresas privadas, que se referenciam aos recursos existentes.

contm MEDIDAS DE SEGURANA reduzem IMPACTOS NO NEGCIO aumentam

aumentam comprometem causam INTEGRIDADE CONFIDENCIALIDADE DISPONIBILIDADE

Segundo Moreira (2001, p.11):

Analisando impactos e calculando riscos

Documento da poltica de segurana

2.2.1 Infra-estrutura da segurana da informao

Gesto do frum de segurana da informao

Coordenao da segurana da informao

Atribuio das responsabilidades em segurana da informao

Processo de autorizao para as instalaes de processamento da informao

convenientemente aprovada pelo gestor do recurso/ambiente, preservando a integridade do recurso/ambiente.

Consultoria especializada em segurana da informao

Cooperao entre organizaes

Anlise critica independente da segurana da informao

2.2.2 Segurana no acesso de prestadores de servios

Classificao e controle dos ativos de informao

Contabilizao dos ativos de informao

Inventrio dos ativos de informao

Recomendaes para classificao

Rtulos e tratamento da informao

Segurana nos recursos e na definio de trabalho

Incluso da segurana nas responsabilidades de trabalho

Termos e condies de trabalho

Treinamento dos usurios

Educao e treinamento em segurana da informao

Respondendo aos incidentes de segurana e ao mau funcionamento

Notificao dos incidentes de segurana

implementados para assegurar que os relatrios de incidentes sejam notificados

Notificando falhas na segurana

Notificando o mau funcionamento de software

Aprendizagem com os incidentes

Segurana fsica e do ambiente