UNIVERSIDADE FEDERAL DE LAVRAS DEPARTAMENTO DE CINCIA DA COMPUTAO

Plano de Segurana da Informao Estudo de caso da empresa Xxxxx Soft

DISCIPLINA: Segurana e Auditoria de Sistemas de Informao 2012/1

Sumrio

1 Introduo 2 Descrio da Empresa 2.1 Misso 2.2 Viso 2.3 Valores 2.4 Cultura 2.5 Objetivos 2.6 Faturamento 2.7 Ramo de Negcio 2.8 Tamanho da Empresa 2.9 Nmero de Empregados 2.10 Principais Atividades da empresa 3 Segurana da Informao 3.1 Prticas voltadas para a Segurana da Informao na Empresa 4 Tcnica para Avaliao de Riscos 4.1 Descrio da tcnica Matriz de Probabilidade/Consequncia 4.2 Relao da Empresa com a Matriz de Probabilidade/Consequncia 4.3 Justificativa 5 Plano de Implantao da Norma ISO/IEC 27002 5.1 Objetivo da Norma ISO/IEC 27002 5.2 Metodologia utilizada para Implantao da Segurana da Informao na empresa 5.3 Atividades Previstas e Prazos 5.4 Responsveis 5.5 Setores Alvos 5.6 Custo Estimado 6 Bibliografia

1. Introduo
Neste trabalho ser identificado os fatores que constituem o plano de segurana de tecnologia da informao e a gesto da segurana da informao e avaliar o grau de importncia deles para a empresa caso de estudo deste trabalho.

O Relatrio Gerencial o objetivo principal deste trabalho. Ele ir mostrar como est a segurana da informao da empresa, auxiliar a implantao do plano de segurana, tcnicas de anlise de riscos, procedimentos de controles, e tambm com a criao do plano de segurana da informao o mais prximo da realidade da empresa.

2. Descrio da Empresa
Criada em 2000, a Xxxxxx Soft Informtica, est sempre focada na efetivao de resultados ao cliente. Contando atualmente com mais de 10 transportadoras como clientes ativos na regio de LavrasMG. Os fundadores da empresa caso de estudo deste trabalho conseguiram ver uma oportunidade de negcio na rea de Tecnologia da Informao para atuar em segmentos de mercado como: operacional logstico e financeiro. Um das filiais da empresa localizada na cidade de Lavras, estado de Minas Gerais, a presente empresa buscou usar as melhores tcnicas de desenvolvimento de software presentes no mercado, desenvolvendo, assim, solues robustas e que atendam s necessidades de seus clientes. Nas prximas subsees deste relatrio gerencial so enunciadas caractersticas da empresa caso de estudo.

2.1 Misso
Transformar em realidade as aspiraes dos nossos clientes e stakeholders, atravs de solues de tecnologia e inovao para os nossos segmentos de atuao: operacional logstico e financeiro.

2.2 Viso
Se tornar o maior e melhor fornecedor de tecnologia nos segmentos de atuao - operacional logstico e financeiro, alm de ser reconhecido e admirado nacionalmente, por agir com amor e determinao para atrair e cativar os clientes, sendo estes, seu maior patrimnio.

2.3 Valores
Integridade; Energia e atitude positiva; Respeito; Foco no resultado; Trabalho em equipe.

2.4 Cultura
A empresa alvo de estudo deste trabalho tem o compromisso de conhecer, aplicar e atender a uma cultura baseada nos seguintes tpicos: Acolher de maneira pr-ativa s necessidades e anseios de seus clientes, com o propsito de aumento da satisfao de seus clientes e um maior tempo de vnculo comercial. Agir de maneira responsvel no atendimento das condies permitidas aplicveis ao negcio e comunidade de sua importncia.

 Fomentar informao limpa, clara e concisa entre os nveis da empresa e com seus stakeholders estabelecendo um lao que se baseia na responsabilidade social, no respeito e estima ao prximo, no trabalho conjunto e no desenvolvimento que no envolvam riscos ambientais. Aperfeioar de maneira contnua as caractersticas salientadas acima atravs do aprimoramento de seus processos, da diminuio do consumo de recursos e evitar possveis desperdcios, para que assim seja um grande nome no segmento de mercado em que atua.

2.5 Objetivos
Os objetivos principais da empresa so: Desenvolver softwares para a logstica com integridade e confiana; Melhoria nos processos de desenvolvimento de softwares; Melhoria contnua em aspectos comercias; Atendimento ao cliente. Suporte e implantao com eficincia;

2.6 Faturamento
O faturamento da empresa caso de estudo no foi divulgado por motivos de restrio aos dados financeiros, acordados anteriormente em reunio do grupo com um dos scios.

2.7 Ramo de Negcio

A Xxxxxxx Soft uma empresa da rea de Tecnologia da Informao que atua em segmentos de mercado como: operacional logstico e financeiro. Visa sempre ter ferramentas de alto desempenho e, assim, zelar em total reduo de custos, automaticamente seguida de benefcios.

2.8 Tamanho da Empresa

De acordo com a classificao adotada pelo BNDES (Tabela 1) e levando em considerao estimativas de faturamento realizadas pelo grupo, ela considerada uma microempresa j que possui uma receita anual menor que R$2,4 milhes.

Porte Microempresa Pequena Empresa Mdia Empresa Mdia-grande Empresa Grande Empresa

Faturamento anual em R$ Menor ou Igual a R$2,4 milhes Maior que R$2,4 milhes e menor ou igual a R$16 milhes Maior que R$16 milhes e menor ou igual a R$90 milhes Maior que R$90 milhes e menor ou igual a R$300 milhes Maior que R$300 milhes

Tabela 1 - Critrio de classificao de porte empresarial do BNDES.

2.9 Nmero de Empregados

A empresa conta com dois scios atuantes e sete funcionrios, dentre eles, quatro desenvolvedores e trs auxiliares de suporte, implantao e atendimento ao cliente.

2.10 Principais Atividades da empresa

As principais atividades da empresa de desenvolvimento de software para apoiar a logstica. Estas atividades so especificamente detalhadas abaixo: Desenvolvimento de Software - A empresa trabalha continuamente com desenvolvimento de software operacional logstico e de contabilidade; Manuteno de Software - A empresa mantm os seus produtos em contnua manuteno e adaptao aos seus mais variados clientes; Implantao de Software - A empresa tem o setor da implantao onde realiza todas as especificaes e adaptaes pr-operacionais para utilizao do software; Atendimento ao Cliente - A empresa da suporte online e tambm faz atendimento presencial em seus clientes sempre que solicitado.

3 Segurana da Informao
Segurana da informao, conforme Beal (2005), o processo de proteo da informao das ameaas a sua integridade, disponibilidade e confidencialidade. Smola (2003) define segurana da informao como uma rea do conhecimento dedicada proteo de ativos da informao contra acessos no autorizados, alteraes indevidas ou sua indisponibilidade. Em um programa de segurana preciso planejamento, execuo e controle durante toda a sua elaborao. Para que um programa de segurana em uma empresa d certo, preciso um estudo das reais necessidades da mesma, com foco na misso da instituio. Depois, necessrio um levantamento das condies atuais dos processos existentes e dos principais servios utilizados. Finalizada a etapa de levantamento de dados, devem ser avaliadas todas as possveis ameaas que possam atrapalhar na realizao e as vulnerabilidades tambm devem ser detectadas. Com as vulnerabilidades registradas, deve-se ento determinar os custos envolvidos e a prioridade de execuo. A partir de todas estas informaes, inicia-se o processo de execuo em si. importante ressaltar que cada etapa de um programa de segurana deve ser muito bem estudada e planejada, pois cada etapa subsequente depende uma da outra. Com essas consideraes queremos firmar que o processo de segurana no tem fim. fundamental que a instituio tenha uma rea que foque especificamente a segurana, e deve trabalhar em parceria com as demais reas a fim de prover e garantir a segurana. As pequenas empresas como caso do nosso estudo tambm so atingidas por estes problemas de segurana de informao, porm dispem de menos recursos para investir na gesto da segurana da informao e manter uma rea somente para a segurana dentro dela.

3.1 Padro de Segurana da Informao na Empresa

A empresa em estudo no conta atualmente com um gestor na rea de segurana da informao e consequentemente no tem um padro de segurana da informao definido. Este trabalho ter como

ganho para a empresa a definio deste padro de segurana da informao. A partir das informaes, atividades, plano de implantao e cronogramas apresentados neste trabalho, a empresa ser capaz de implantar prticas para a segurana da informao no contexto de sua operao.

4 Tcnica para Avaliao de Riscos

A Avaliao de riscos investiga a probabilidade de cada risco especfico ocorrer e o efeito potencial sobre um objetivo do projeto, como tempo, custo, escopo ou qualidade, inclusive os efeitos negativos das ameaas e os efeitos positivos das oportunidades. A coleta de dados em entrevistas e/ou reunies com participantes e at especialistas de fora do projeto ajudam a avaliar a probabilidade e o impacto do risco. Organizaes de todos os tipos e tamanhos esto enfrentando uma srie de riscos que podem afetar na busca dos seus objetivos. Estes objetivos podem estar relacionados s diversas atividades da organizao, das iniciativas estratgicas operao, processos e projetos, e serem refletidos em impactos estratgicos, operacionais, financeiros e de reputao da empresa. Todas as atividades de uma organizao envolvem riscos. A gesto de riscos auxilia a tomada de deciso tomando conta das incertezas e seus efeitos frente ao alcance dos objetivos e avaliando a necessidade de qualquer ao. A seguir iremos ver uma descrio da tcnica matriz de probabilidade/consequncia que auxiliar na avaliao dos riscos de segurana da informao na empresa caso de estudo presente neste trabalho.

4.1 Descrio da Tcnica Matriz de Probabilidade/Consequncia

A Matriz de probabilidade e consequncia normalmente realizada usando uma tabela de pesquisa ou uma matriz de probabilidade e consequncia propriamente dita. Essa matriz especifica as combinaes de probabilidade e impacto que levam classificao dos riscos como de prioridade baixa, moderada ou alta. Com esta tcnica iremos mostrar os riscos que uma empresa de desenvolvimento de software pode estar enfrentando, e auxiliar no processo de implantao de um plano visando aumentar a segurana e garantir que seus objetivos sejam alcanados.

4.2 Relao da Empresa com a Tcnica Matriz de Probabilidade/Consequncia

Por ser uma empresa de desenvolvimento de software a aplicao da tcnica Matriz de Probabilidade/Consequncia foi considerada como a mais aplicvel em relao as atividades realizadas pela empresa. Os problemas tero uma matriz onde sero classificados como de alto risco, mdio risco e baixo risco. Riscos com alta probabilidade e alto impacto so fortes pretendentes anlises futuras , incluindo quantificao e gerncia de risco agressiva. A empresa caso de estudo do presente trabalho uma desenvolvedora de software que por caractersticas principais contm variados tipos de riscos no seu processo desenvolvimento de software, em informaes contidas nestes softwares, em quantidades enormes de dados e informaes valiosas, por isso a classificao destes riscos auxiliam no plano de gerenciamento de riscos e em sua tomada deciso. Com a matriz de probabilidade/consequncia iremos classificar alguns problemas relacionados a empresa e a segurana da informao definidos abaixo:

 Integridade da Informao - tem como objetivo garantir a exatido da informao, assegurando que pessoas no autorizadas possam modific-la, adicion-la ou remov-la, seja de forma intencional ou acidental; Disponibilidade da Informao - garante que os autorizados a acessarem a informao possam faz-lo sempre que necessrio; Autenticidade da informao - a garantia de que somente pessoas autorizadas tero acesso a ela, protegendo-a de acordo com o grau de sigilo do seu contedo; Autenticidade da Informao - garantia de que num processo de comunicao os remetentes sejam exatamente o que dizem ser e que a mensagem ou informao no foi alterada aps o seu envio ou validao. Confidencialidade da informao - garantia de que a informao foi produzida em conformidade com a lei; Ausncia de um gestor do processo de segurana - A segurana e auditoria em sistemas de informao uma responsabilidade de todos ns. Para isso, um profissional da rea tem a obrigao de ser responsvel pela existncia do processo de segurana e auditoria em sistemas de informao. Ausncia de uma gesto de risco - Quando no existe uma gesto de risco, as anlises de riscos e de ameaas so feitas aleatoriamente e normalmente apenas quando se tem um risco eminente. Toda organizao deve ter uma gesto de risco contnua. Ausncia de alinhamento entre segurana e negcio - A segurana deve considerar as prioridades do negcio da organizao. Mas as reas de negcio e a direo da organizao devem considerar a participao da segurana da informao em definies estratgicas.

Terceirizao de setores - Para que a segurana seja realmente implantada, os setores crticos, importantes da empresa no devem ser controlados por pessoas que no fazem parte de seus quadros de pessoal; Irregularidades em Ferramentas de Hardware e Software - metade das organizaes no possui mtodo ou processo para desenvolvimento de softwares e para aquisio de hardware, software e servios de informtica, o que gera riscos de irregularidades em contrataes; Definio de siglas dos problemas relacionados a empresa : P1 - Integridade da Informao P2 - Disponibilidade da Informao P3 - Autenticidade da Informao P4 - Confidencialidade da Informao P5 - Gesto do Processo de Segurana

P6 - Gesto de Risco. P7 - Alinhamento entre segurana e negcio P8 - Terceirizao de setores P9 - Irregularidades em Ferramentas de Hardware e Software P10 - Perda de Dados P11 - Acesso de pessoas no autorizadas em locais restritos da empresa P12 - Catstrofes

Alto Alto Mdio Baixo P2, P4, P5, P6, P7 P3, P8, P11, P10 P12

Mdio

Baixo

P1 P9

Tabela 2 - Matriz Probabilidade X Consequncia Conforme a tabela 2, podemos afirmar que as suas relaes de consequncia e probabilidades podero ocorrer em diversos nveis descritos abaixo : P2 , P4 , P5, P6, P7 foram classificados com alta probabilidade e alta consequncia. P3, P8, P11, P10 foram classificados com mdia probabilidade e alta consequncia. P1 foi classificado com mdia probabilidade e mdia consequncia. P12 foi classificado com baixa probabilidade e alta consequncia. P9 foi classificado com baixa probabilidade e mdia consequncia

4.3 Justificativa
A matriz probabilidade/consequncia auxiliou na classificao dos problemas e de como podemos construir um plano de segurana da informao para a empresa caso de estudo. Por ser uma empresa de desenvolvimento de softwares a tcnica foi a mais adequada para o contexto, pois os problemas com relao a segurana de informao um ponto crucial para empresa. Com esta tcnica os problemas ficaram com uma definio mais clara para a implantao do modelo, indicando quais problemas devem ser analisados e gerenciados com mais importncia e qual dever ser implantado primeiramente.

5 Plano de Implantao da Norma ISO/IEC 27002

5.1 Objetivo da Norma ISO/IEC 27002
A norma estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos definidos nesta norma provm diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao.

De acordo com a norma, a segurana da informao definida dentro do padro, no contexto de trs principais caractersticas que so : preservao da confidencialidade (garantir que a informao acessvel somente queles autorizados a ter acesso), a integridade (salvaguarda da exatido e integridade das informaes e mtodos de processamento) e disponibilidade (garantia de que os usurios autorizados tenham acesso a informaes e ativos associados quando necessrio). A norma ISO/IEC 27002 foi baseada na ISO/IEC 17799. Outra norma a ser utilizada concomitante com a norma ISO/IEC 27002 a norma internacional

IEC 61508:1998. A norma IEC 61508:1998 trata, de uma maneira mais genrica, as atividades do Ciclo de Vida de Segurana para Sistemas Eletrnicos, sendo de interessante aplicao, pois a XxxxxxxSoft Informtica desenvolve sistemas para conhecimento eletrnico, onde necessria e vital a segurana no seu processo de desenvolvimento. 5.2 Metodologia utilizada para Implantao da Segurana da Informao na empresa
importante salientar que a confeco de uma metodologia para implementao de um projeto de segurana da informao em um determinada empresa uma atividade bastante difcil, isto , de alta complexidade. O projeto a ser confeccionado precisa ter detalhes importantes da empresa, para que seja possvel mensurar suas informaes, tanto de baixo de nvel como de alto nvel. Os passos da metodologia elaborada especificamente para a Xxxxxx Soft Informatica so apresentados a seguir.

5.3 Atividades Previstas e Prazos

As atividades que devem ser priorizadas so a garantia da disponibilidade da informao, a confidencialidade da informao, a presena de um gestor do Processo de Segurana, a Gesto de Risco e o alinhamento entre segurana e negcio. Estas so as atividades consideradas mais crticas, tm alta probabilidade e alto risco. A garantia da autenticidade da informao, a terceirizao de setores, perda de dados e o acesso de pessoas no autorizadas em locais restritos da empresa so questes de alto risco, no entanto no tem grande probabilidade de ocorrncia, portanto sero nosso segundo foco. Em seguida enfocaremos na integridade da informao, que um ponto crtico da empresa. Por fim trataremos de questes referentes catstrofes, seguido de tratamentos quanto a irregularidades em ferramentas de hardware e software. Os procedimentos relativos estes itens ocorrem durante os prximos 8 meses aps a anlise de risco. Cronograma das Atividades: A1 - (Referente a P5) Definir um responsvel pelo processo de segurana e trein-lo. A2 - (Referente a P6) Criar um processo de gesto de risco. A3 - (Referente a P6) Realizar manuteno do processo de gesto de risco.

10

A4 - (Referente a P7) Conscientizao da alta direo da importncia da segurana da informao. A5 - (Referente a P8) Observar quais setores da empresa so terceirizados, e definir se o ideal. A6 - (Referente a P11) Definir nveis de acesso e aplicar mtodos para assegurar que sejam respeitados. A7 - (Referente a P12, P10) Definir um plano de contingncia. A8 - (Referente a P9) Definir um plano para aquisio de recursos, para que sejam observadas as caractersticas necessrias. A9 - (Referente a P1, P2, P3, P4, P10) Definir um plano de tratamento de informaes e medidas para a sua realizao. O plano deve garantir a integridade da informao, a disponibilidade da informao, a autenticidade da informao, a confidenciabilidade da informao e prticas para evitar a perda de dados.

Ms 1 A1 A2 A3 A4 A5 A6 A7 A8 A9

Ms 2

Ms 3

Ms 4

Ms 5

Ms 6

Ms 7

Ms 8

Tabela 3 - Matriz Atividades X Prazos

5.4 Responsveis
A boa aplicao do plano de segurana est intimamente ligada com a presena de bons profissionais na equipe para gerenciar e aplicar o plano de segurana da informao. Estas pessoas devem ser escolhidas de forma correta analisando o histrico da pessoa visando evitar problemas futuros, j que os profissionais da rea tero acesso a importantes informaes da empresa. Primeiramente necessrio se definir um gestor do processo de segurana que vai ser o responsvel direto por todos os processos e atividades a serem realizadas. A definio deste profissional como j dito anteriormente uma das prioridades no plano de segurana j que a presena deste responsvel ser essencial para a continuidade da aplicao do processo.

11

Durante a elaborao do plano houve uma discusso sobre qual a melhor opo para o cargo de Gestor do Processo de Segurana. As opes disponveis eram contratar uma pessoa de fora da empresa com experincia na rea, ou treinar um funcionrio da empresa para a funo. A contratao de um funcionrio especializado para a funo ter a vantagem de possuir na equipe um funcionrio com experincia na rea, porm elevaria os custos da empresa e talvez demoraria um pouco para o funcionrio conhecer a cultura da empresa. J o treinamento de um funcionrio da empresa possu a vantagem de ter uma pessoa com conhecimento das atividades da empresa alm do treinamento ser mais barato do que a opo anterior, porm possua a desvantagem de ter uma pessoa com pouca experincia na rea. Com essas informaes ficou decidido que a melhor opo destacar um funcionrio da empresa para essa funo. O processo de escolha desse funcionrio tem de ser feito de maneira criteriosa analisando o histrico na empresa, colhendo informaes em outras empresas que o funcionrio trabalhou, buscando informaes pessoais como certificados de Nada Consta. Depois de realizada a escolha o funcionrio passou por um perodo de treinamento para a funo, para isso ele foi deslocado a uma empresa especializada nessa rea, e aps o treinamento ele ser o responsvel pelo Plano de Segurana.

5.5 Setores Alvo

Ao se planejar a segurana de uma empresa deve ser levado em conta quais o setores mais crticos. Para se definir o tanto que um setor pode ser considerado crtco vrios fatores tem de ser levados em conta como, circulao de pessoas, quantidade de informaes produzidas, nvel de confidencialidade de informaes. No caso da empresa em estudo ficou definido que o setor crtico que o plano de segurana deve atacar a parte responsvel diretamente pelo desenvolvimento, j que a parte que abriga o maior nmero de funcionrios e possui informaes essenciais para o funcionamento e competitividade da empresa. Manter essas informaes garante a integridade, que uma das caractersticas principais definida pela norma utilizada. O setor de desenvolvimento segundo as informaes obtidas na reunio com o scio, possui 4 funcionrios. Estes funcionrios so responsveis diretos pela produo dos produtos que a empresa trabalha, dessa forma de extrema importncia garantir que a integridade e o sigilo do trabalho desses empregados. Um outro cuidado que deve ser tomado em todos os setores com a prestao de servios de terceiros. comum a presena de empresas terceirizadas para executar atividades especficas dentro da empresa como limpeza e manuteno em equipamentos. Nessas ocasies devem ser tomadas medidas especiais para evitar que estes materiais fiquem a disposio de pessoas estranhas e dessa forma garantir a preservao da confidencialidade da informao.

5.6 Custo Estimado

De acordo com pesquisa divulgada pela Symantec, a quantidade de informaes geradas pelas empresas tem aumentado vertiginosamente, e elas custam muito caro. Em mdia no mundo uma pequena ou mdia empresa chega a gastar 332 mil dlares por ano com informaes, e este apenas um dos focos deste plano.

12

Como no foi fornecido pela empresa dados referentes ao faturamento, houve uma certa dificuldade para se estimar os custos para o plano de segurana. Desta forma foi realizada uma discusso dentro do grupo para se estimar o faturamento e os custos mensais da empresa, para assim chegar aos valores e se seria benfico para a empresa a implantao do plano de segurana. A partir de uma discusso do grupo ficou definido que ser investido em segurana cerca de 12.5% do faturamento da empresa. Os custos para a implantao deste plano esto divididos nas diversas atividades que sero realizadas para a concretizao do mesmo. Essas atividades so treinamento de um responsvel pelo processo de segurana requer horas de trabalho do profissional a ser treinado, materiais, cursos e tambm para a aquisio da norma a ser utilizada, e entre outros custos. Para a criao de um processo de gesto de riscos ser necessrio identificar, para cada risco identificado, uma estratgia de gerenciamento. Haver um custo permanente com a manuteno do processo de gesto de riscos.

6 Bibliografia
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ISO/IEC 17799 Tecnologia da Informao - Cdigo de prtica para a Gesto da Segurana da Informao. International Organization for Standardization, Switzerland, 2000. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ISO/IEC 27002 Tecnologia da Informao - Cdigo de prtica para a Gesto da Segurana da Informao. International Organization for Standardization, Switzerland, 2007. INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC 61508-n, Functional safety of eletrical/electronic/programmable electronic safety-related systems (1998). Commission Electrotechnique Internationale, 1998. BEAL, Adriana. Segurana da Informao: princpios e melhores prticas para a proteo dos ativos de informao nas organizaes So Paulo: Atlas, 2005. SMOLA, Marcos. Gesto da Segurana da Informao: uma viso executiva Rio de Janeiro: Campus, 2003. http://www.bndes.gov.br/SiteBNDES/bndes/bndes_pt/Navegacao_Suplementar/Perfil/porte.html http://www.qsp.org.br/ http://docmanagement.com.br/07/20/2012/symantec-divulga-pesquisa-sobre-custo-e-gestao-dainformacao

13