Este documento apresenta uma análise de riscos e uma mini-política de segurança da informação para uma empresa. Ele descreve dez riscos principais como níveis de privilégio elevados, softwares não homologados e demandas de infraestrutura sem envolvimento da área de TI. Além disso, fornece diretrizes para classificar informações e proteger a integridade, disponibilidade e confidencialidade dos dados. O objetivo é conscientizar os usuários sobre boas práticas de segurança e riscos potenciais.
1. CONFECÇÃO DE UMA MINI-POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
/ ANÁLISE DE RISCOS
PROF. JOSÉ FERNANDO MARQUES WEEGE
ALUNO: ANDERSON ZARDO
CAXIAS DO SUL
NOVEMBRO 2011
2. 2
Avaliação de Grau B com peso 10.
Requisito para conclusão da disciplina de
Segurança da Informação – FTEC / Caxias do Sul
3. Índice
1 Sumário Executivo ....................................................................................... 5
2 Justificativa .................................................................................................. 5
3 Objetivos ...................................................................................................... 6
4 Classificação das Informações .................................................................... 6
4.1 Informações Públicas .................................................................................................... 6
4.2 Informações Internas .................................................................................................... 6
4.3 Informações Confidenciais ............................................................................................ 6
4.4 Informações Restritas ................................................................................................... 7
5 Os pilares da Segurança da Informação:..................................................... 7
5.1 Pilar da Integridade ....................................................................................................... 7
5.2 Pilar da Disponibilidade ................................................................................................. 7
5.3 Pilar da Confidencialidade ............................................................................................. 7
6 Riscos Identificados: .................................................................................... 8
6.1 Nível de privilégios elevado sem necessidade .............................................................. 8
6.1.1 Risco Vulnerável .................................................................................................... 8
6.1.2 Ameaça .................................................................................................................. 8
6.1.3 Ações para Mitigar os Riscos ................................................................................. 8
6.2 Versões de Software não homologadas para uso na companhia ................................. 8
6.2.1 Risco Vulnerável .................................................................................................... 8
6.2.2 Ameaça .................................................................................................................. 9
6.2.3 Ação para mitigar riscos ........................................................................................ 9
6.3 Demandas de Infraestrutura levantadas e executadas sem o envolvimento da TI. ..... 9
6.3.1 Risco Vulnerável .................................................................................................... 9
6.3.2 Ameaça .................................................................................................................. 9
6.3.3 Ação para mitigar riscos ........................................................................................ 9
6.4 Formato de anexo do correio eletrônico não é restrito ............................................. 10
6.4.1 Risco Vulnerável .................................................................................................. 10
6.4.2 Ameaça ................................................................................................................ 10
6.4.3 Ação para mitigar riscos ...................................................................................... 10
6.5 Ativos de rede fora do período da garantia ................................................................ 10
6.5.1 Risco Vulnerável .................................................................................................. 10
6.5.2 Ameaça ................................................................................................................ 10
6.5.3 Ação para mitigar ................................................................................................ 10
6.6 Procedimentos não documentados ............................................................................ 11
3
4. 6.6.1 Risco Vulnerável .................................................................................................. 11
6.6.2 Ameaça ................................................................................................................ 11
6.6.3 Ação para mitigar ................................................................................................ 11
6.7 A TI não é mencionada no processo de integração .................................................... 11
6.7.1 Risco vulnerável................................................................................................... 11
6.7.2 Ameaça ................................................................................................................ 11
6.7.3 Ação para mitigar ................................................................................................ 11
6.8 Datacenter em local inapropriado (umidade excessiva) ............................................. 11
6.8.1 Risco vulnerável................................................................................................... 11
6.8.2 Ameaça ................................................................................................................ 12
6.8.3 Ação para mitigar ................................................................................................ 12
6.9 Documentos impressos abandonados ou esquecidos ................................................ 12
6.9.1 Risco vulnerável................................................................................................... 12
6.9.2 Ameaça ................................................................................................................ 12
6.9.3 Ação para mitigar ................................................................................................ 12
6.10 Fuga de expertise ........................................................................................................ 12
6.10.1 Risco Vulnerável .................................................................................................. 12
6.10.2 Ameaça ................................................................................................................ 12
6.10.3 Ação para mitigar ................................................................................................ 12
7 Considerações finais.................................................................................. 13
4
5. 1 Sumário Executivo
A informação como qualquer outro ativo de grande valor, deve ser
adequadamente utilizada e protegida contra as ameaças e riscos. A presente
mini política de análise de riscos visa antes de tudo garantir a adoção de
melhores práticas para lidar com as situações que foram selecionadas pela
equipe de TI por representar uma potencial ameaça a Confiabilidade,
Integridade e Disponibilidade da Informação, reduzindo-se os riscos que
possam ocasionar prejuízostanto de ordem material/financeira quanto à
reputação da organização.
Na elaboração do presente documento, houve a preocupação de que os
assuntos, métricas e casos aqui abordados fossem expostos com o maior nível
de clareza possível, possibilitando até mesmo o entendimento por pessoal não
familiarizado com as questões técnicas da Tecnologia da Informação,
aplicando-se, portanto no desenvolvimento do trabalho diário dos usuários e
profissionais de TI da companhia.
A vigência da presente mini política se dará automaticamente à
publicação da mesma, devendo todos os colaboradores firmar termo de ciência
e concordância, atividade essa que ficará sobre responsabilidade do setor de
recursos humanos, bem como demais colaboradores já vinculados à
companhia e que fazem uso dos recursos de TI da companhia.
O uso impróprio, bem como a não observância ou ainda, qualquer
dificuldade imposta no intuito de dificultar o cumprimento das regras aqui
tratadas implicarão em medidas disciplinares, como advertência por escrito, e
no caso de reincidência, poderá implicar em desligamento do colaborador por
justa-causa.
A companhia, se assim desejar, pode fazer alterações na presente
política, exclusivamente a partir da sua própria vontade, devendo a mesma
estar disponível para consulta a qualquer tempo pelos colaboradores da
companhia, passando a validar as alterações no momento da publicação da
nova versão.
2 Justificativa
A importância da presente Mini Política reside em tornar de
conhecimento dos usuários e profissionais da área de Tecnologia da
Informação os riscos aqui elencados e as ações para mitiga-los, tento em vista
o potencial que cada um desses riscos tem de ameaçar a Confidencialidade,
Disponibilidade e Integridade da informação.Somente tendo conhecimento das
vulnerabilidades do ambiente que nos cerca é que podemos tomar precauções
assertivas no intuito de prover segurança no ambiente de TI, mitigando riscos
que ameaçam a solidez da Segurança da Informação como um todo.
5
6. 3 Objetivos
O objetivo do presente documento éauxiliar os profissionais e usuários
dos recursos de TI a ter um entendimento dos riscos a que o seu ambiente está
exposto, bem como propor estratégias para que as situações que favoreçam as
ameaças em potencial que esses riscos proporcionam não ocorram.
Procura-se também formalizar o compromisso da companhia com a
proteção da informação, devendo, portanto, ser cumprida pelos colaboradores
e por fim, fornecer diretrizes e melhore-práticas a serem seguidas, buscando
uma compreensão e redução do potencial de dano atribuído aos riscos aqui
elencados.
4 Classificação das Informações
A Classificação das informações é feita de acordo com a sua relevância,
grau de confidencialidade e criticidade para o negócio da companhia, sendo,
em ordem crescente: Informações Públicas, Informações Internas, Informações
Confidenciais e Informações Restritas.
4.1 Informações Públicas
As informações oriundas de ambiente externo (sites externos,
servidores externos, entre outras cuja hospedagem não é de
responsabilidade da companhia) passam por filtros de conteúdo
(antivírus, firewall, anti-spam e demais serviços que se julgar
necessário), sendo o usuário que fez o login na estação onde esta
sendo destinadas essas informações, responsável pelas mesmas.
4.2 Informações Internas
Informações que dizem respeito apenas à companhia, não tendo
qualquer valor, relevância ou aplicabilidade fora dela. São em geral,
informações que não representam risco caso seja levado a
conhecimento público.
.
4.3 Informações Confidenciais
São informações em caráter sigiloso, sendo portanto proibida a
exposição das mesmas fora do ambiente da companhia, sob pena de
acarretar sansões disciplinares ao responsável, como demissão por
justa causa ou outra penalidade à critério do gestor imediato. Fazem
parte desse grupo todas as informações que envolvem análises e
6
7. resultados da empresa nas suas áreas de negócio, bem como projeções
destes resultados, projetos para lançamentos futuros, etc.
4.4 Informações Restritas
São informações que estão disponíveis apenas para seu dono
e/ou criador ou a um determinado grupo. Pode ser qualquer tipo de
informação, desde que seu acesso esteja limitado apenas a
determinado(s)colaboradores(s). A violação da restrição de acesso
acarretará em medidas disciplinares.
5 Os pilares da Segurança da Informação:
O avanço da tecnologia e das formas de comunicação e troca de
informação nos possibilitam realizar as nossas tarefas com bastante
praticidade, porém as brechas e precedentes para ocorrerem fuga destas
informações também aumentaram consideravelmente. Por mais avançados
que sejam as tecnologias, elas ainda dependem do fator humano para que
possam ser usadas de maneira eficaz.
Os pilares da informação tratados neste documento são:
5.1 Pilar da Integridade
Um dado íntegro não necessariamente representa um dado que
possua informações corretas. Um dado íntegro é o dado que quando foi
resgatado, é idêntico ao mesmo dado no momento de sua
armazenagem, não tendo ocorrido qualquer ação nesse intervalo que
possa alterar as suas características.
5.2 Pilar da Disponibilidade
Um dado deve estar disponível no exato momento em que for
solicitado, ou seja, deve estar disponível a qualquer momento. Para isso,
deve-se prover de qualquer recurso que torne isso possível, como por
exemplo, links de acesso confiável, permissões de acesso, etc.
5.3 Pilar da Confidencialidade
Um dado deve estar disponível apenas às pessoas ou grupos que
tenham permissão para acessá-lo, sendo vetado o seu acesso aos
demais. Um dado confidencial é disponível apenas a quem possui
permissão para acessá-lo.
7
8. 6 Riscos Identificados:
Após a equipe de TI ter feito uma análise criteriosa das
vulnerabilidades, ameaças e riscos presentes no ambiente da companhia,
foi elaborada uma Matriz de Segurança, onde elencamos dez riscos em
potencial e os descreveremos abaixo:
6.1 Nível de privilégios elevado sem necessidade
Esta situação relata o caso em que um usuário possui permissões
para realizar alterações nas características de sua estação de trabalho,
bem como permissão de acesso a arquivos e documentos, sem que
haja necessidade destes privilégios para que o colaborador possa
desempenhar corretamente o seu trabalho.
6.1.1 Risco Vulnerável
Informações de cunho confidencial e estabilidade do
sistema como um todo
6.1.2 Ameaça
Acesso a informações confidenciais e alterações em
configurações que comprometam a estabilidade e segurança do
sistema. Poderá ocorrer vazamento de informações, bem como
comprometimento da estabilidade, causando prejuízos a integridade
do sistema devido a ação de programas maliciosos e outras
ameaças.
6.1.3 Ações para Mitigar os Riscos
Devem ser revisados os acessos e permissões do usuário,
de modo que todos devem ter o de permissão mínimo necessário
para desempenho de suas atividades. Dessa forma, evita-se o
comprometimento da estabilidade do sistema, que impacta na
produtividade do usuário, bem com riscos de acesso sem
permissão a dados confidenciais, bem como a ameaça que isso
representa no vazamento dessas informações.
6.2 Versões de Software não homologadas para uso na
companhia
Todos os softwares oficialmente utilizados pela empresa passam por um
período de testes para prevenir problemas como incompatibilidade com
outros softwares já estabelecidos ou defeitos (bugs) que possam impactar
na produtividade devido às panes que possam a vir ocorrer no sistema
operacional.
6.2.1 Risco Vulnerável
Sistemas Operacionais e aplicativos
8
9. 6.2.2 Ameaça
Softwares que não passam por um período de homologação
estão em desacordo, pondo em risco a integridade do sistema
operacional e demais aplicativos. Panes que ocorrerem pode impactar
em perda de produtividade e/ou corrupção de dados, causando
prejuízos.
6.2.3 Ação para mitigar riscos
Realizar inventário de softwares através de ferramenta apropriada,
devendo essa,levantar informações como nome, fabricante e versão,
devendo esses dados, portantocoincidir com as versões liberadas para
uso pelos usuários da companhia. Impedir a livre instalação de programas
através de ferramentas de controle e permissões de acesso do Sistema
Operacional ou outra forma de controle.
6.3 Demandas de Infraestrutura levantadas e executadas sem
o envolvimento da TI.
Demandas que envolvem instalação e/ou ampliação de infraestrutura
de rede, elétrica ou equipamentos devem ser solicitadas ao setor
competente da TI, que irá proceder com a solicitação ou selecionar
fornecedores que sejam capazes de fazê-lo, caso não haja recursos
internos para tal. Ao setor competente de TI, portanto, cabe a
responsabilidadede negociar aspectos técnicos, observando o
cumprimento das normas e boas práticas, cabendo ao setor solicitante
autorizar ou não a execução após a apresentação da proposta formal pela
TI.
6.3.1 Risco Vulnerável
Infraestrutura de rede, elétrica e equipamentos que dão apoio ao
funcionamento dos ativos de TI da companhia.
6.3.2 Ameaça
Não cumprimento das normas e boas práticas para este tipo de
projeto, podendo ocasionar instabilidades no funcionamento dos ativos.
Expansão fora do controle e não documentada acaba ocasionando
também lentidão na resolução de problemas caso eles ocorram, pois
ficará cada vez mais difícil identificar a causa.
6.3.3 Ação para mitigar riscos
Deve-se buscar um apoio da alta-administração da companhia no
intuito de não autorizar modificações na infraestrutura sem o laudo da ti.
Toda e qualquer modificação na infraestrutura deve seguir o fluxo:
Solicitação ao setor competente da TI > Avaliação técnica inicial >
Execução do trabalho (no caso de se tratar de serviço possível de
ser executado internamente) > Encerramento. Caso contrário, o fluxo
é este: Solicitação ao setor competente da TI > Avaliação técnica
inicial > Contratação de terceiro para elaboração de projeto e
orçamento junto a TI> Aprovação por parte do setor solicitante >
Encerramento.
9
10. 6.4 Formato de anexo do correio eletrônico não é restrito
Devemos ter ciência de que determinados arquivos recebidos por
e-mail podem possuir conteúdo malicioso, podendo causar transtornos
ao usuário e a companhia. A restrição destes formatos visa além de
garantir a segurança, coibir o uso da ferramenta de e-mail para
propagação de mensagens que não tenham relação com os interesses
da companhia, impactando nodesempenho e nos recursos dos ativos
que sustentam a ferramenta.
6.4.1 Risco Vulnerável
Desempenho da ferramenta de correio eletrônico e integridade do
sistema operacional e aplicativos das estações e servidores.
6.4.2 Ameaça
Anexos maliciosos de determinados formatos enviados por e-
mails maliciosos podem conter malwares e outras ameaças com
potencial de causar danos à integridade dos sistemas e dados da
companhia. Pode ocorrer também sobrecarga dos recursos devido ao
fluxo de informação que não têm a ver com as atividades da companhia
residentes em anexos como, por exemplo, formatos de arquivo de
música, foto e vídeo ou formatos de apresentação do Microsoft Power
Point.
6.4.3 Ação para mitigar riscos
Usar Filtros e controles que previnem determinados formatos de
circularem por e-mail, bem como fazer uso de ferramentas (Antivírus, etc.)
que analisem o conteúdo anexo do e-mail a procura de ameaças.
6.5 Ativos de rede fora do período da garantia
Ativos de rede que não estão cobertos pela garantia do fabricante
podem apresentar problemas de estabilidade por questões de desgaste
natural, entre outros.
6.5.1 Risco Vulnerável
Redes de computadores e demais serviços e recursos apoiados
por ela.
6.5.2 Ameaça
Ao acontecer um evento de falha, haverá prejuízo e demora no
reestabelecimento do serviço, pois deverão ser obedecidos fluxos
internos que são necessários para aquisição de equipamento substituto
ou peças de reposição.
6.5.3 Ação para mitigar
Buscar acordo com os fabricantes para ampliação e, quando for o
caso, renovação do período de garantia dos equipamentos. Desenvolver
uma política de obsolescência programada (ajuda na previsão de gastos
com equipamentos).
10
11. 6.6 Procedimentos não documentados
A eficiência com que os serviços são prestadosmuito se deve ao
fato de os processos para realizar determinadas tarefas estarem
documentados, de modo que a realização das tarefas seguindo as
orientações destes procedimentos é altamente recomendado.
6.6.1 Risco Vulnerável
Eficiência dos serviços de suporte da TI.
6.6.2 Ameaça
Demora na execução de tarefas pelo desconhecimento da prática
dos procedimentos, bem como a falta de garantia de que os
procedimentos e o serviço sejam realizadoscorretamente.
6.6.3 Ação para mitigar
Criar documentação de procedimentos com aprovação da gerência
da área de TI, instruindo com clareza e exatidão os processos tratados,
de modo que possa auxiliar na execução de tarefas a melhor maneira
possível.
6.7 A TI não é mencionada no processo de integração
Ao se contratar novos colaboradores, deve-se dar a devida
importância de que eles estejam cientes da correta utilização dos
serviços da TI, seus direitos e deveres como utilizador dos recursos,
prevenindo assim problemas futuros.
6.7.1 Risco vulnerável
Integridade e eficiência dos ativos e recursos da infraestrutura e
sistemas de informação
6.7.2 Ameaça
Consiste em uma ameaça deste caso o uso de ativos para fins
que não representam interesse da organização, alocando recursos que
poderiam estar sendo usados para o interesse da companhia.
6.7.3 Ação para mitigar
Desenvolver as políticas, sempre envolvendo a gerência e a área
de recursos humanos (colaborador toma conhecimento ao entrar na
empresa), manter as normas e informações a esse respeito sempre
acessível a qualquer tempo.
6.8 Datacenter em local inapropriado (umidade excessiva)
O correto funcionamento de toda a estrutura de serviços da TI se
deve à localização dos ativos de TI em local apropriado, livre de acesso
externo de pessoal não autorizado e não estando sujeito a condições
adversas de clima, vibrações e etc.
6.8.1 Risco vulnerável
Ativos e informações
11
12. 6.8.2 Ameaça
Neste caso em específico, o elevado grau de umidade pode
causar oxidação dos contatos elétricos e mecânicos dos ativos de rede,
bem como demais avarias que podem interferir no correto
funcionamento dos equipamentos.
6.8.3 Ação para mitigar
Instalar condicionadores de ar que atenuem o problema, ou mesmo
migrar a estrutura para um novo local caso o problema não seja possível
de contornar ou os custos de adequação sejam acima do projeto de um
novo local.
6.9 Documentos impressos abandonados ou esquecidos
Impressos não resgatados no momento de sua impressão poderão
conter informações de caráter sigiloso, portanto não autorizado seu
conhecimento por outros colaboradores que não sejam o seu
proprietário/criador, além de causar acúmulo de papel e desperdício.
6.9.1 Risco vulnerável
Informações confidenciais, que podem representar vazamento se
o seu destino for desviado.
6.9.2 Ameaça
Revelação de informações confidenciais da companhia, seus
projetos, previsões futuras, dados contábeis e outras informações dessa
monta.
6.9.3 Ação para mitigar
Instalar controle de cópia e impressão, de modo que a impressão
seja liberada apenas quando o solicitante estiver próximo ao local onde a
impressora se encontra e liberou o trabalho de impressão através de
autenticação (biométrica ou por chave numérica).
6.10 Fuga de expertise
O conhecimento deve estar acessível a todos a qualquer hora, não
sendo propriedade ou exclusividade de um determinado profissional.
6.10.1 Risco Vulnerável
Colaboradores chave para uma determinada tarefa ou
conhecedores de um determinado processo podem vir a deixar a
companhia ou mesmo podem estar inacessíveis por um período de
tempo (férias, adoecimento, motivo de força maior, etc...).
6.10.2 Ameaça
Dificuldade na execução de processos e perda de conhecimento.
6.10.3 Ação para mitigar
Elencar todos os procedimentos essências a manutenção do
ambiente e exigir a documentação dos procedimentos. Deve-se também
12
13. treinar outro profissional (de preferência de uma área afim) para que
esse possa vir a suprir a demanda caso houver necessidade.
7 Considerações finais
Acreditamos que este documento pode contribuir para criarmos um
ambiente onde a eficiência e o respeito predomine, auxiliando à companhia na
obtenção dos resultados almejados da melhor maneira possível.
13