CENTRO TCNOLGICO DA ZONA LESTE

FACULDADE DE TECNOLOGIA DA ZONA LESTE

DANILO MUNIZ BARRETO

UMA ABORDAGEM SOBRE POLTICA DA SEGURANA DA

INFORMAO IMPLANTADA

So Paulo
2009

CENTRO TCNOLGICO DA ZONA LESTE

FACULDADE DE TECNOLOGIA DA ZONA LESTE

DANILO MUNIZ BARRETO

UMA ABORDAGEM SOBRE POLTICA DE SEGURANA DA

INFORMAO IMPLANTADA

Monografia apresentada no curso de

Tecnologia em Informtica com nfase
em Gesto em Negcios na FATEC ZL
como requerido parcial para obter o ttulo
de Tecnlogo em Informtica com nfase
em Gesto em Negcios.
Orientador: Prof. Me. Leandro Colevati
dos Santos

So Paulo
2009

CENTRO TCNOLGICO DA ZONA LESTE

FACULDADE DE TECNOLOGIA DA ZONA LESTE

DANILO MUNIZ BARRETO

UMA ABORDAGEM SOBRE POLTICA DA SEGURANA DA

INFORMAO IMPLANTADA

Monografia apresentada no curso de

Tecnologia em Informtica Gesto em
Negcios na FATEC ZL como requerido
parcial para obter o ttulo de Tecnlogo
em Informtica Gesto em Negcios.

COMISSO EXAMINADORA

Prof.

Prof.

Prof.

So Paulo, ____de _____ de 2009.

AGRADECIMENTOS

Ao professor orientador Leandro Colevati dos Santos, que me apoiou, ajudou e

acreditou no meu potencial.
A todos os professores que, de maneira ou outra, contriburam para a realizao
desta monografia.
minha famlia, pelo apoio incondicional e minha namorada, pela pacincia,
compreenso e apoio.
Aos amigos e colegas de curso, por todos os momentos que passamos juntos, pela
fora e pela confiana ao longo destes trs anos.
Ao Fabio Julio, consultor de Segurana da Informao, pela ajuda no tema e
disposio.
E a todos que, direta ou indiretamente, colaboraram para a realizao desta
monografia.

Procure ser um homem de valor,

em vez de procurar ser um homem de sucesso
Albert Einstein

BARRETO, Danilo Muniz. Uma Abordagem sobre Poltica de Segurana da

Informao Implantada. 2009. Monografia (Tecnlogo em Informtica com nfase
em Gesto em Negcios) FATEC-ZL.

RESUMO

Nesta monografia ser abordado como funciona e como criada e implantada uma
Poltica de Segurana da Informao em uma empresa. Com os avanos
tecnolgicos nas ltimas dcadas e a informao tornando-se a grande valia das
organizaes, seus dados comearam a ficar muito expostos, sendo alvos de
ataques e roubos. Assim faz-se necessria a implantao de uma Poltica de
Segurana da Informao baseada em normas, regras e procedimentos que possam
auxiliar a moldar um formato compatvel com cada tipo de empresa.

Palavras-chave: Segurana da Informao, Poltica de Segurana

BARRETO, Danilo Muniz. An approach of a Security Information Policy deployed.

2009. Monograph (Tecnlogo em Informtica com nfase em Gesto em Negcios)
FATEC-ZL.

ABSTRACT

In this moment there will be approached how a Security Information Policy works and
how it will be deployed. With the technological advances from the recent decades
and the information is becoming the great value of the organizations, their data
become to be very exposed. Then, its necessary a deployment of a Security
Information Policy based in norms, rules and procedures that will be assist to shape
a compatible format according with each type of company.

Key-words: Information Security, Security Policy

LISTA DE ABREVIAES

CD-ROM Compact Disk Read Only Memory

CPD Centro de Processamento de Dados
CobiT - Control Objectives for Information and Related Technology
EAP-TPS - Extensible Authentication Protocol Transport Layer Security
ITIL - Information Tecnology Infrastructure Library
SI Sistema de Informao
TI Tecnologia da Informao

LISTA DE FIGURAS
Figura 1 Melhores Prticas Utilizadas .................................................................... 38
Figura 2 Dados Cadastrais ..................................................................................... 51
Figura 3 Classificaes e categorias de websites .................................................. 55
Figura 4 Legenda das classificaes e categorias de websites ............................. 55

SUMRIO
1. INTRODUO ...................................................................................................... 13
1.1 Objetivo ............................................................................................................... 14
1.2 Metodologia ......................................................................................................... 14
1.3 Justificativa .......................................................................................................... 15
2. A INFORMAO ................................................................................................... 16
2.1 Histrico .............................................................................................................. 16
2.2 O Valor da Informao ........................................................................................ 18
2.3 Propriedades da Informao ............................................................................... 19
3. SEGURANA DA INFORMAO ........................................................................ 21
3.1 Ameaas ............................................................................................................. 23
3.1.1 Vrus de Computador ....................................................................................... 23
3.1.2 Engenharia Social ............................................................................................ 24
3.1.3 Ataques DoS .................................................................................................... 25
3.2 Vulnerabilidades .................................................................................................. 25
3.3 Proteo .............................................................................................................. 26
3.3.1 Firewall ............................................................................................................. 27
3.3.2 Antivrus ........................................................................................................... 27
3.3.3 Backups............................................................................................................ 28
3.3.4 Restries de Acesso ....................................................................................... 28
3.3.5 Criptografia ....................................................................................................... 30
3.3.5.1 Chave Privada ou simtrica........................................................................... 30

3.3.5.2 Chave Pblica ou assimtrica ....................................................................... 30

4. POLTICA DE SEGURANA DA INFORMAO ................................................. 32
4.1 Normas ................................................................................................................ 32
4.1.1 NBR ISO/IEC 27001:2005 ................................................................................ 33
4.1.2 CobiT ................................................................................................................ 34
4.1.3 ITIL ................................................................................................................... 34
4.2 Desenvolvimento da Poltica ............................................................................... 35
4.2.1 Etapas no desenvolvimento e implantao da Poltica .................................... 35
4.3 Caractersticas e Benefcios ................................................................................ 36
5. ESTUDO DE CASO .............................................................................................. 38
5.1 Melhores Prticas ................................................................................................ 38
5.2 Objetivo ............................................................................................................... 39
5.3 Auditoria .............................................................................................................. 39
5.4 Gesto de Acessos ............................................................................................. 40
5.4.1 Identidades Digitais .......................................................................................... 41
5.4.2 Senhas ............................................................................................................. 41
5.4.3 Controle de Acesso .......................................................................................... 42
5.5 Software .............................................................................................................. 42
5.6 Hardware ............................................................................................................. 43
5.7 Internet / Correio Eletrnico................................................................................. 44
5.8 Backup e guarda de dados na rede .................................................................... 45
5.9 Antivrus .............................................................................................................. 46

5.10 Polticas de rede ................................................................................................ 46

5.11 Comunicao Interna e Externa ........................................................................ 47
5.12 Comunicao sem fio ........................................................................................ 47
5.13 Equipamentos Portteis .................................................................................... 48
5.14 Padres de TI .................................................................................................... 48
5.14.1 IDs de rede e descries ............................................................................... 49
5.14.2 Dados cadastrais ............................................................................................ 50
5.14.3 Conta de Correio Eletrnico (e-mail) .............................................................. 51
5.14.4 Limites para envio e recebimento de e-mails ................................................. 52
5.14.5 Limites para Caixas de Entrada de e-mail (Mailbox) ...................................... 52
5.14.6 Bloqueios no envio/recebimento de e-mails ................................................... 53
5.14.7 Configurao para software de contedo de acesso internet...................... 54
5.14.8 Regras para servidores de arquivos ............................................................... 56
5.14.9 Requerimentos para Redes Sem Fio ............................................................. 57
5.15 Futuras melhorias .............................................................................................. 58
5.16 Incorfomidades .................................................................................................. 58
6. CONSIDERAES FINAIS .................................................................................. 59
REFERNCIAS ......................................................................................................... 60

13
1. INTRODUO

Com o advento das redes mundialmente interligadas a Internet -,

houve como conseqncia o surgimento da facilidade de comunicao e de realizar
transaes via Internet, como acessar contas em banco, e-mails particulares,
informaes empresariais, etc. Com isso surge uma preocupao em torno de
proteger as informaes que so trocadas nessas transaes, principalmente no que
diz respeito a dados de uma empresa.
De toda essa necessidade de assegurar os dados que so
transmitidos de um lugar a outro, a segurana da informao apareceu para
regularizar a forma como tais dados sero protegidos e para reduzir os impactos e
os incidentes que podem ser causados, baseando-se em normas como ITIL, CobiT,
BS7799 e ISO/IEC 27001:2005, por exemplo. Assim torna-se ideal uma empresa
implantar uma Poltica de Segurana da Informao.
A Poltica de Segurana da Informao visa estabelecer regras
baseadas em normas para que as informaes importantes da empresa tenham a
devida proteo, assegurando sua confidencialidade, integridade e disponibilidade a
todos os usurios que as utilizam. Com a conscientizao de que as informaes
so vitais para a empresa e a responsabilidade de todos em assegurar a vitalidade
delas, a Poltica de Segurana ser bem executada e seguida.
No desenvolvimento da poltica de segurana, vale citar Ferreira e
Arajo (2006, p.10):

A poltica, preferencialmente, deve ser criada antes da ocorrncia de

problemas com a segurana, ou depois, para evitar reincidncias. Ela uma
ferramenta tanto para prevenir problemas legais como para documentar a
aderncia ao processo de controle de qualidade.

14
Como o mercado est cada vez mais competitivo, crucial para uma
empresa ter suas informaes mais relevantes bem protegidas para que estas no
sofram danos ou sejam roubadas, assim prejudicando-a. Alm disso, nunca as
informaes de um modo geral estiveram to ameaadas como atualmente, com a
facilidade de interconexo que a Internet proporciona entre o mundo todo.

1.1 Objetivo

Mostrar o quo fundamental para uma empresa desenvolver e

implantar uma Poltica de Segurana da Informao, pois se deve ter a conscincia
de que, medida que as informaes so compartilhadas e disponibilizadas em
meios fsicos e computacionais para serem consultadas, elas esto vulnerveis a
ataques e acessos no autorizados.
A Poltica assegura que o ativo mais importante da empresa, a
informao, esteja em um bom nvel de segurana, sendo baseada em normas,
procedimentos e diretrizes, juntamente com a conscientizao de todos os
funcionrios.

1.2 Metodologia

Para a realizao desse trabalho ser utilizado a metodologia de

pesquisa bibliogrfica para reviso de literatura pertinentes ao tema proposto, e
ainda ser utilizado a metodologia de estudo de caso na rea de Segurana da
Informao de uma empresa do ramo de celulose e papel. Este estudo ser um
suporte para mostrar como funciona todo o processo de desenvolvimento e
implantao de uma Poltica de Segurana da Informao.

15
1.3 Justificativa

A no aplicao de uma boa Poltica de Segurana da Informao

pode desencadear em invases no sistema da organizao e perdas e/ou danos em
suas informaes, j que no h normas, procedimentos e regras a serem seguidas
para impedir tais ataques.
Com as informaes mais relevantes da empresa sendo afetadas,
seus processos de negcio podem sofrer danos irreparveis. Por isso a boa gesto
da segurana por meio da aplicao de polticas e procedimentos fundamental
para a vitalidade da organizao como um todo.

16
2. A INFORMAO

A informao sempre foi uma necessidade para o homem. Desde os

primrdios o ser humano utiliza-se de informaes sejam elas escritas, visuais,
faladas ou mesmo pensadas para poder se comunicar e dissemin-las.
Tecnicamente falando, Smola (2003, p.45) define o conceito de informao:

Conjunto de dados utilizados para a transferncia de uma mensagem entre

indivduos e/ou mquinas em processos comunicativos (isto , baseados
em troca de mensagens) ou transacionais (isto , processos em que sejam
realizadas operaes que envolvam, por exemplo, a transferncia de
valores monetrios).

Desde modo, entende-se que a informao a interpretao de tais

dados, que juntos tem um significado em uma finalidade, a fim de serem entendidos.
De nada adianta um mdico receitar um remdio, e quando a informao passada
ao farmacutico, o mesmo no entende o que est escrito.
Segundo Smola (2003, p.39), A informao representa a
inteligncia competitiva dos negcios e reconhecida como ativo crtico para a
continuidade operacional e sade da empresa.

2.1 Histrico

Conforme Neitzel (2003), ao longo da evoluo humana o homem

desenvolveu e usufruiu de inmeras tcnicas, instrumentos, canais, veculos ou
suportes para que o ajudassem a se comunicar.
Desde a criao de pinturas rupestres, o desenvolvimento da prescrita, xilografias, o papel e as impresses manuais e mecnicas, o homem

17
conseguiu disseminar informaes de gerao a gerao, contribuindo para a
histria da humanidade. Por dcadas, a impresso foi utilizada para transmitir idias
e acontecimentos (SILVA, 2005, p.6).
Com o desenvolvimento da escrita alfabtica, surgiram novos meios
de transmitir as informaes, e a possibilidade das mesmas poderem estar
acessveis a outros povos e culturas diferentes, atravs do desenvolvimento de
meios de transportar tais informaes, como pombo-correio, telgrafo, entre outros.
Assim, no era mais necessria a presena fsica do homem para portar e transmitir
a informao (NEITZEL, 2003).
A partir do sculo XIX, comearam a surgir os inventos baseados em
eletricidade, e que influenciaram muito a transmisso das informaes. Em 1837 o
alfabeto foi digitalizado no cdigo Morse, e nos anos seguintes, o homem ainda criou
o telgrafo, a mquina de escrever, o fongrafo, o telefone e o rdio (DIAS, 1999).
Com a inveno do rdio, estabeleceu-se um novo marco na histria
das comunicaes. Segundo Neitzel (2003) [...] este tinha possibilidades de alcance
muito maior e chegava mais rapidamente que qualquer outra mdia [...]. Ouvindo o
rdio, o ouvinte era conduzido pela imaginao, vivenciando virtualmente o que lhe
era passado.
Mas um marco no sculo XX foi o surgimento da televiso. A partir
de ento, as informaes eram vistas, lidas e faladas ao receptor.

uma forma de comunicao em que a oralidade passa a dividir espao

com a comunicao da imagem, do smbolo, do movimento. A informao,
alm de ser falada, pode ser lida, vista, interpretada pelo receptor. A viso,
sentido to privilegiado nessa cultura, passa a ser o centro de exploraes.
Para o telespectador, assistir ao noticirio na televiso possui outra
significao, h uma relao visual com quem transmite a informao, no
mais uma voz annima ou um texto de algum que no se pode imaginar
quem seja. uma pessoa que fala e mostra e se mostra a quem assiste. A
relao sujeito-transmissor-receptor mudou. O telespectador estreitou sua
relao com o apresentador (NEITZEL, 2003).

18
Com toda essa evoluo dos meios de comunicao at ento,
surge uma tecnologia que praticamente engloba todos os modos de disseminar
informao. Havendo interao, o indivduo no tem s um papel de receptor, mas a
opo de escolha, de tomar decises. As informaes so processadas numa
velocidade sem igual, tendo a possibilidade de acessar e ter conhecimento de
notcias de qualquer parte do mundo, ouvir msicas, trabalhar, comunicar, tudo isso
em um nico aparelho, o computador. E toda essa gama de informaes acessveis
do computador s foi possvel graas a outros milhares deles interligados no mundo
todo, formando uma rede, conhecida como Internet (SILVA, 2005, p.5).
Segundo Dias (1999), com a popularizao da internet os servios
que ela oferece s foram aumentando, como correio-eletrnico, transferncia de
arquivos, comrcio eletrnico, entre uma infinidade de outros servios relacionados
a textos, sons e imagens.
Assim, entende-se que o homem foi buscando durante sua trajetria
mais fontes e acessos informao.

2.2 O Valor da Informao

A informao o maior ativo de uma empresa, e cada vez mais

valorizada. Com base em informaes, empresas planejam seus passos objetivando
melhor produtividade, reduo de custos, aumento de agilidade, competitividade e
apoio a tomada de deciso.

Seja para um supermercadista preocupado com a gesto de seu estoque,

seja para uma instituio bancria em busca da automao de suas
agncias bancrias, ou para uma indstria alimentcia prospectando a
otimizao de sua linha de produo, todos decidem suas aes e seus
planos com base em informaes (SMOLA, 2003, p.2).

19
Sendo a informao o maior poder de uma organizao, ela deve
ser bem classificada de acordo com seu impacto no negcio para que seu grau de
proteo seja correto.

2.3 Propriedades da Informao

De acordo com Ferreira e Arajo (2006, p.17), as principais

propriedades da informao so:
Confidencialidade: Toda informao acessvel somente por
pessoas autorizadas a terem acesso
Integridade: Toda informao deve ser salvaguardada com
exatido, devendo ser mantida na mesma condio em que
foi disponibilizada
Disponibilidade: Garantia de que as informaes geradas
estejam disponveis para os usurios autorizados sempre que
necessrio.
Os mesmo autores ainda defendem a insero de mais trs
propriedades, sendo elas:
Legalidade: A utilizao da informao deve estar de acordo
com as leis aplicveis, regulamentos, licenas e contratos
Auditabilidade: O uso e o acesso a informao devem ser
registrados, possibilitando a identificao de quem a utilizou e
o que ocorreu com ela
No Repdio: Depois que o usurio gerou a informao, ele

20
no pode negar o fato, pois h mecanismos que provam o
acesso e a possvel alterao
A partir dessas definies, surge uma preocupao: Como proteger
as informaes que so to importantes para uma organizao?

21
3. SEGURANA DA INFORMAO

Desde que o homem passou a comunicar-se, houve uma

preocupao em como proteger as informaes trocadas. Segundo Kahn (2004)
apud Silva (2005, p.6), alguns monumentos criados por volta de 1900 a.C. pelo
arquiteto Khnumhotep, que servia o fara Amenemhet II, foram documentados com
partes deles codificados, substituindo palavras e trechos do texto escrito em tabletes
de argila. Assim, caso o tablete fosse roubado, o ladro no encontraria o caminho
certo que o levaria ao tesouro, morrendo de fome dentro da pirmide.
Segundo Gurtner (2006), depois da primeira guerra mundial e o
incio da segunda guerra, diversos pases desenvolveram sistemas de comunicao
criptografados, a fim de comunicar-se entre as tropas e evitar que suas mensagens
fossem interceptadas por pases inimigos.
Mas logo a indstria da tecnologia comeou a investir em mquinas
de armazenamento de informaes, e os computadores de grande porte da poca,
os mainframes, foram herdando toda a informao que antes era contida em
documentos manuscritos e tornando-se uma central de processamento e
armazenamento de dados, onde os mesmos eram acessados remotamente.
Compartilhar informao passou a ser uma forma moderna de gesto nas empresas
e um modo mais veloz na hora de agir. Assim, surgem as primeiras redes de
computadores e as informaes passam a ser mais automatizadas e digitalizadas,
sendo acessadas por mais pessoas em diferentes lugares. (SMOLA, 2003, p.3)
Cada vez mais as empresas comearam a aplicar a tecnologia da
informao voltada ao negcio. Conforme Smola (2003, p.3), os computadores
comearam a tomar o lugar dos mainframes, que a partir da no cumpririam mais
sozinhos o papel de armazenar e processar as informaes. Os computadores,

22
estando desde os ambientes de escritrio at servidores de grande porte,
quebraram o paradigma de acesso local a informao, e chegaram a qualquer lugar
do mundo com os notebooks e atravs da rede mundial de computadores, a Internet.
Porm, com a Internet tornando-se o principal canal de distribuio
de informaes, ela comea a ser visada por ladres que atacam digitalmente, os
hackers. A revista PROMON (2005, p.3) comenta sobre o aparecimento da Internet
e o aumento de ataques s informaes:

Um dos principais motivadores desde aumento a difuso da Internet, que

cresceu de alguns milhares de usurios da dcada de 1980 para centenas
de milhes de usurios ao redor do globo nos dias de hoje. Ao mesmo
tempo em que colaborou com a democratizao da informao e se tornou
um canal on-line para fazer negcios, tambm viabilizou a atuao dos
ladres do mundo digital e a propagao de cdigos maliciosos (vrus,
worms, trojans etc.), spam, e outros inmeros inconvenientes que colocam
em risco a segurana de uma corporao. Alm disso, a facilidade da
realizao de ataques atravs da Internet aumentou significativamente com
a popularizao de ferramental apropriado espalhado ao longo da rede
mundial de computadores, habilitando desde hackers at leigos malintencionados a praticarem investidas contra sistemas de informao
corporativos.

Com toda a capacidade de armazenamento e distribuio da

informao dos computadores, tornou-se necessrio proteg-los para que todo
contedo contido nas mquinas estivesse seguro de pragas que so disseminadas
atravs da internet, como vrus, spams etc. E com todas essas ameaas e da
necessidade das informaes estarem protegidas, surge a Segurana da
Informao.
Assim, entende-se que a Segurana da Informao visa proteger os
ativos da informao contra acessos no autorizados, alteraes indevidas ou sua
indisponibilidade (SMOLA, 2003 p.43).

23
3.1 Ameaas

Conforme Smola (2003, p.47), as ameaas podem ser definidas

como:
Agentes ou condies que causam incidentes que comprometam as
informaes e seus ativos por meio da explorao de vulnerabilidades,
provocando perdas de confidencialidade, integridade e disponibilidade e,
conseqentemente, causando impactos aos negcios de uma organizao.

As ameaas podem ser classificadas, sendo divididas em naturais,

voluntrias e involuntrias.
Entre as ameaas mais exploradas pelos hackers, so exemplos:
vrus, DoS, engenharia social.

3.1.1 Vrus de Computador

Os vrus de computador so pequenos programas criados para se

disseminarem de um computador a outro, visando interferir na operao da
mquina. Eles podem corromper ou apagar dados do computador, ou estar instalado
para roubar algum tipo de informao (MICROSOFT, 2009a).
Segundo o site Mundoenlinea (2005) apud Silva (2005, p.8) um
estudo realizado pela Universidade do Texas mostra que apenas 6% das empresas
que sofrem algum tipo de desastre informtico sobrevivem. Os demais 94%
desaparecem, mais cedo ou mais tarde.
O site da Microsoft (2009b) mostra que os tipos mais populares de
vrus so:
Worm: Tipo de vrus que cria cpias de si mesmo de um
computador a outro, automaticamente. Depois que contamina

24
o sistema, o worm se desloca sozinho. O grande perigo desse
vrus sua grande capacidade de se replicar em grande
volume.
Cavalo de Tria (trojan): Assim como o mitolgico Cavalo de
Tria parecia ser um presente, mas na verdade escondia
soldados gregos em seu interior que invadiram e tomaram a
cidade de Tria, esse tipo de vrus so programas de
computador que, a principio, parecem ser teis, mas na
verdade causam inmeros danos.
Phishing Scan: Tipo de ataque que visa roubar senhas do
usurio, por meio da engenharia social.

3.1.2 Engenharia Social

Conforme a cartilha de segurana do CERT.br (20??) apud Ferreira

e Arajo (2006, p.92), a engenharia social um mtodo de ataque onde algum faz
uso da persuaso, explorando da ingenuidade e confiana do usurio para
conseguir informaes que podem ser utilizadas para obter acesso no autorizado, a
computadores ou informaes. Seja vasculhando o lixo, fingindo ser outra pessoa no
telefone, acessando dados de outro usurio no local de trabalho, os responsveis
por estes ataques iro usar de muitos modos para conseguir os dados que almejam,
causando inmeros danos a organizao.
Ferreira e Arajo (2006, p.93) ainda falam que a empresa como um
todo deve ter em mente que as informaes manuseadas por todos os funcionrios
tm valor e podem causar grandes prejuzos para a organizao caso forem
roubadas ou modificadas.

25
3.1.3 Ataques DoS

Segundo o site Infowester (2009a), os ataques Dos ou Ataques de

Negao de Servios consistem em tentativas de impedir que os verdadeiros
usurios de um determinando computador utilizem seus servios. Para isso, so
utilizadas algumas tcnicas como sobrecarregar uma rede at que fique
congestionada; derrubar conexes entre computadores, forar acessos a algum site
at ele ser derrubado entre outros.
O site ainda ressalta que, quando um computador ou site alvo de
um ataque DoS, ele no invadido, mas sim sobrecarregado.

3.2 Vulnerabilidades

So fragilidades presentes ou ligadas a ativos que controlam e

processam informaes que, ao serem exploradas por ameaas, permitem que
ocorram incidentes de segurana, prejudicando as propriedades da informao
(SMOLA 2003, p.48).
O mesmo autor ainda mostra que as vulnerabilidades no causam
incidentes sozinhas, tendo sempre um agente causador ou uma condio que
favorea o incidente. Como exemplos, temos os fatores fsicos, naturais e
tecnolgicos.
Fatores Fsicos:
Salas de CPD mal planejadas
Falta de equipamentos contra incndio
Instalaes prediais fora do padro
Fatores Naturais:

26
Terremotos, tempestades
Falta de energia
Enchentes, incndios
Fatores Tecnolgicos:
Falha em recursos de hardware (Erros de instalao,
desgastes, etc)
Falha

em

recursos

de

software

(Erros

de

instalao/configurao podendo dar acessos indevidos,

vazar informaes, etc.)
Perda ou danificao de discos, fitas, relatrios e impressos
Perda de comunicao ou acessos no autorizados
Fatores Humanos:
Falta de treinamento
Compartilhamento de informaes confidenciais
Roubo, vandalismo, destruio da propriedade
Conforme

visto

anteriormente,

tem-se

idia

de

que

as

vulnerabilidades podem ser originadas de diversas fontes, mas sempre ter uma
maneira de evit-las ou reduzi-las. Tambm h variaes desses incidentes em uma
organizao e outra.

3.3 Proteo

A Segurana da Informao, visando proteger os princpios bsicos

da informao confidencialidade, integridade e disponibilidade -, possui diversos
recursos em que se apia para proteg-la de incidentes como vrus, worms, etc.

27
3.3.1 Firewall

O firewall pode ser definido como uma barreira de proteo que

controla o trfego de dados dentro de uma estrutura de rede. Ele executa diversos
comandos de filtragem de pacotes de dados, controlando o que entra e sai do
sistema via rede. (INFOWESTER, 2009b)
Smola (2006, p.120) faz uma simples comparao do firewall com
um filtro de gua domstico, mostrando como acontece a filtragem:

Podemos compar-lo ao tradicional filtro de gua domstico que, a

princpio, formado por um compartimento vazio por onde passa a gua
supostamente poluda, e por um elemento ou vela contendo camadas de
filtragem formadas por diversos materiais. Ao passar por este
compartilhamento, j com o elemento de filtragem, as impurezas da gua
so retidas pelas diversas camadas do elemento. Desta forma, o filtro
poder ser considerado eficiente se conseguir reter todas as impurezas e
permitir a passagem de todos os demais componentes benficos sade,
como sais minerais etc.

3.3.2 Antivrus

Antivrus um software responsvel por detectar e remover pragas

digitais como vrus, trojans, entre outros tipos de cdigos maliciosos. Ele funciona
como um banco de dados, contendo uma lista de definio de informaes para
poder identificar quais arquivos esto infectados ou no. Assim, os softwares
antivrus precisam de constante atualizao, pois para precisam detectar os vrus
mais recentes, a lista de definio precisa ser a mais nova possvel. (LINHA
DEFENSIVA, 2009)

28
3.3.3 Backups

O backup uma cpia segura dos arquivos mais importantes da

empresa. Segundo Dias (2000, p.116) as empresas devem ter uma boa poltica de
backups, contendo os procedimentos e infra-estrutura necessrios para proteger
todo o acervo informacional da instituio, possibilitando a continuidade de suas
atividades.
Ferreira e Arajo (2006, p.86) citam que o backup um dos recursos
mais efetivos para assegurar a continuidade das operaes em caso de algum
ataque ou dano as informaes da empresa. Por isso, cabe a instituio levar em
considerao a importncia da informao que tem, classificando-a adequadamente,
levando em conta sua periodicidade de atualizao e sua volatilidade para saber o
que deve realmente proteger.

3.3.4 Restries de Acesso

O processo mais adequado quando se pensa em manter o controle

efetivo sobre os acessos aos sistemas propor processos com intervalos peridicos
para a reviso das contas de usurios e seus respectivos privilgios no sistema da
organizao (FERREIRA e ARAUJO, 2006, p.71).

3.3.4.1 Identificao e autenticao do usurio

Cada usurio deve possuir uma nica identificao, ou User ID, que
ser sua identificao prpria. Todos os usurios necessitam do seu User ID, seja
ele um cdigo de caracteres ou um carto inteligente. Por meio dessa unicidade

29
permite-se um controle das aes praticadas por cada usurio por meio dos logs.
(DIAS, 2000, p.86)
Dias, (2000, p.87) ainda fala que logo aps a identificao do
usurio, o sistema confirma ou no se ele mesmo e, caso sim, permite o acesso
aos recursos computacionais da empresa. Essa liberao do usurio de ingressar no
sistema conhecida como autenticao do usurio. A maioria dos sistemas solicita
o User ID e uma senha (que supostamente somente o usurio conhece).

3.3.4.2 Senhas

A dvida que permeia muitos usurios : o que uma boa senha?

Ferreira e Arajo (2006, p.74) mostram que uma boa senha deve conter pelo menos
seis caracteres (entre letras, nmeros e smbolos), deve ser simples de digitar e o
mais importante, ser fcil de lembrar. Elaborando uma senha que mistura caracteres,
no utilizar palavras que faam parte de dicionrios, no usar nomes de familiares,
entre outros, o bloqueio ao acesso das informaes do usurio ser reforado.

3.3.4.3 Biometria

A biometria a utilizao de caractersticas biolgicas do ser

humano em mecanismos de identificao. Como exemplo dessas caractersticas
tem-se a ris (parte colorida do olho), retina (membrana interna do globo ocular), a
voz, a impresso digital, a geometria da mo, entre outros (INFOWESTER, 2009c).
O site ainda afirma que o mtodo de identificao biomtrica se
mostra mais eficaz que a utilizao de senhas, pois como cada pessoa tem olhos,

30
uma impresso digital e voz nicas, o roubo de informaes para acesso se torna
quase impossvel.

3.3.5 Criptografia

A criptografia utilizada visando proteger as informaes que so

consideradas de risco e para as quais outros controles no fornecem proteo
adequada. O controle criptogrfico deve levar em conta se apropriado e qual tipo
deve ser aplicado (FERREIRA E ARAJO, 2006, p.78). So exemplos de uso de
criptografia: chaves privadas e pblicas.

3.3.5.1 Chave Privada ou simtrica

A chave privada uma tcnica criptogrfica que utiliza uma nica

senha, ou chave, para cifrar informaes tanto na sua origem como no seu destino.
Apesar de seu excelente desempenho, esta chave tem uma vulnerabilidade
presente no seu envio ou compartilhamento com o destinatrio da informao. Essa
falha na chave simtrica fica evidente quando uma mensagem enviada de um
usurio a outro a utilizando, pois ao criar a chave e envi-la junto mensagem ao
destinatrio, ela no est protegida, assim comprometendo a confidencialidade.
(SMOLA, 2006, p.123)

3.3.5.2 Chave Pblica ou assimtrica

Conforme Smola (2006, p.123), a chave pblica tambm uma

tcnica criptogrfica, porm ao invs de utilizar uma nica chave, ela adota um par

31
delas para cada um dos interlocutores, especificamente uma privada e outra pblica
para o remetente, e o destinatrio. Desta forma, no preciso compartilhar uma
nica chave entre os interlocutores. Basta o remetente ter a chave pblica do
destinatrio para garantir a confidencialidade da mensagem e para permitir que o
destinatrio consiga decifrar a mensagem.

32
4. POLTICA DE SEGURANA DA INFORMAO

A poltica de segurana tem o papel fundamental de fornecer

orientao e apoio as aes de gesto de segurana. Ela assume uma grande rea
e por conta disso subdividida em trs reas: diretrizes, procedimentos e
instrues, e normas, sendo destinados, respectivamente, s camadas estratgica,
ttica e operacional. O papel da poltica estabelecer padres, responsabilidades e
critrios para o manuseio, armazenamento, transporte e descarte das informaes
dentro do nvel de segurana estabelecido pela organizao, contando com
envolvimento da alta direo para que as normas sejam refletidas em carter oficial
a todos os funcionrios (SMOLA, 2003, p.105).
Ferreira e Arajo (2006, p.9) definem a poltica de segurana da
informao como um conjunto de normas, mtodos e procedimentos utilizados para
a manuteno da segurana da informao, devendo ser formalizada e divulgada a
todos os usurios que fazem uso dos ativos da informao.

4.1 Normas

As normas surgiram para sugerir bases comuns, cada uma

abordando seus temas especficos. Elas exemplificam critrios, padres e
instrumentos de controle, que podem ser aplicados parcialmente ou totalmente em
funo da natureza de cada negcio (SMOLA, 2003, p.140). Dessa necessidade
em basear-se em normas para desenvolver boas prticas no ambiente de
tecnologia, Ferreira e Araujo (2005, p.27) dizem que tal fator deve-se dificuldade
das reas de TI em manterem seus prprios modelos e estruturas de controle, uma

33
vez que as evolues tecnolgicas criam constantes necessidades de atualizaes
desses modelos.

4.1.1 NBR ISO/IEC 27001:2005

Com o mercado atingindo um alto nvel de automao, de

compartilhamento de informaes e de dependncia, foi elaborada e compilada uma
norma especfica para orientar e padronizar as aes voltadas gesto de
segurana da informao. Essa norma foi dada o nome de BS7799: parte 1, que
possui uma verso brasileira a NBR /ISO 17799:1. (SMOLA, 2003, p.140)
Porm, em 2005, foi publicada uma nova verso da parte 1 da
norma, sendo totalmente revisada e a partir de ento se chamando ISO 27001:2005,
e distribuda da seguinte forma (FERREIRA e ARAJO, 2006, p.28):
Escopo
Termos e Definies
Estrutura e padronizao
Avaliao de riscos
Poltica de Segurana
Organizao da Segurana da Informao
Gerenciamento de ativos
Segurana dos recursos humanos
Segurana fsica e ambiental
Gerenciamento de operao e comunicao
Controles de acesso
Aquisio, desenvolvimento e manuteno dos SIs

34
Gerenciamento de incidentes
Gerenciamento da continuidade do negcio
Conformidade
Incorporando os principais aspectos que uma poltica de segurana
deve se preocupar, entende-se que crucial para uma organizao seguir as
normas propostas pela ISO / IEC 27001:2005.

4.1.2 CobiT

Segundo o site do ITGI (2000) apud Vitorino et al (2006, p.4), o

CobiT um modelo de estrutura de controles internos orientado para o
entendimento e o gerenciamento dos riscos associados ao uso da Tecnologia da
Informao.
Sua estrutura dividida em quatro domnios: planejamento e
organizao, aquisio e implementao, manuteno e entrega e suporte. Esses
processos estabelecem os objetivos de controle necessrios para a manuteno de
uma estrutura de controles internos que viabilizam um melhor resultado de maneira
confivel as empresas (FERREIRA e ARAJO, 2006, p.33).

4.1.3 ITIL

O ITIL um guia de referncia onde esto as melhores prticas para

processos e procedimentos no que se relaciona a gerenciar servios em TI. Ele
apresenta um conjunto de boas prticas inter-relacionadas para diminuio de custo,
relacionada ao aumento quantitativo e qualitativo dos servios de TI prestados aos
usurios da empresa.

35
4.2 Desenvolvimento da Poltica

Para desenvolver uma poltica de segurana da informao,

necessrio traar os objetivos de segurana da organizao, pois o ambiente
computacional varia de uma empresa para outra. Para localizar os objetivos mais
prioritrios necessrio fazer uma anlise da natureza da aplicao, dos ricos e dos
provveis impactos. Tanto os usurios comuns como profissionais do departamento
de tecnologia da informao devem preocupar-se com a confidencialidade,
integridade e disponibilidade das informaes da organizao (DIAS, 2000, p. 42).

4.2.1 Etapas no desenvolvimento e implantao da Poltica

Segundo Ferreira e Arajo (2006, p.12) o desenvolvimento e a

implantao das polticas, normas e procedimentos de segurana da informao
englobam as fases que sero apresentadas a seguir.
Fase I Levantamento de Informaes: Obteno de padres
e normas para anlise, de informaes sobre os ambientes de
negcios e sobre o ambiente tecnolgico
Fase II Desenvolvimento do Contedo das Polticas e
Normas de Segurana: Gerenciamento de polticas de
segurana, atribuio de regras e responsabilidades, criar
critrios para classificar as informaes e procedimentos de
segurana de informaes
Fase III Elaborao dos Procedimentos de Segurana da
Informao: Pesquisas sobre melhores prticas em segurana
da informao, desenvolvimento de padres a serem

36
discutidos com a alta administrao e formalizao dos
procedimentos para integr-los s polticas corporativas
Fase IV Reviso, aprovao e implantao da Poltica de
Segurana da Informao: Efetiva implantao das polticas,
normas e procedimentos de segurana da informao, por
meio de divulgaes para colaboradores, funcionrios e a alta
administrao da organizao

4.3 Caractersticas e Benefcios

Para que a poltica de segurana implantada seja efetiva, ela deve

conter algumas caractersticas essenciais como exprimir o real pensamento da
empresa e ser coerente com as suas aes, ser vlida a todos, ser de fcil leitura e
compreenso, ser complementada assim que novos recursos forem disponibilizados
e que a alta administrao da organizao se comprometa dando total apoio
poltica (FERREIRA e ARAJO, 2005, p.19).
Os mesmos autores ainda mostram os principais benefcios
alcanados com uma boa criao e implantao de uma Poltica de Segurana, em
curto, mdio e longo prazo.
Como exemplos de benefcios em curto prazo:
Formalizao

documentao

dos

procedimentos

segurana que a organizao utilizou

Implementao de novos procedimentos e controles
Preveno de acessos no autorizados
Processos do negcio com uma maior segurana

de

37
Como exemplos de benefcios em mdio prazo:
Padronizao dos procedimentos de segurana incorporados
no dia-a-dia da empresa
Novos processos do negcio adaptados com maior segurana
Qualificao e quantificao dos sistemas de resposta a
incidentes
Conformidade com padres de segurana
Como exemplos de benefcios em longo prazo:
Retorno sobre o investimento realizado, por meio da
diminuio de incidentes relacionados segurana
Consolidao da imagem da empresa associada Segurana
da Informao

38
8
5. ES
STUDO DE CASO

o de caso ser feito sobre uma

a empresa
a de grande porte no
o
O estudo
ramo
o de papel e celulose
e, focando em seu se
etor de teccnologia, m
mais espec
cificamente
e
no de Segurrana da Informa
o, analisa
ando com
mo funcion
na sua Poltica
P
de
e
Segu
urana da Informa
o.

5.1 Melhores
M
Prticas

Para pro
opiciar um ambiente seguro
s
s informa
es, a equipe de TI e
de segurana
s
a baseiam
m-se nas normas mais
m
utiliza
adas no q
que diz respeito
r

segu
urana pa
ara desenvvolver sua
a prpria poltica, como
c
o C
CobiT parra normass
adm
ministrativass, o ITIL para
p
norma
as gerenciais e a IS
SO27001 p
para as po
olticas de
e
segu
urana, conforme mo
ostra a figu
ura 1.

Figura 1 Melhores Prticas

P
Utilizzadas
Fonte: Poltica de Segurana
S
da
d Informao da empressa

39
5.2 Objetivo

O objetivo da poltica de segurana da informao na empresa

definir as polticas e diretrizes para o uso adequado dos recursos computacionais
colocados a disposio dos usurios, minimizando os riscos associados :
Acesso no autorizado a sistemas e informaes da empresa
Utilizao para finalidades no permitidas
Utilizao de software ilegal
Danos causados por vrus
Mau uso dos recursos computacionais
A poltica de segurana aplicada a todos os funcionrios e pessoas
fsicas ou jurdicas que forem prestar servio empresa e para tanto utilizarem
recursos computacionais conectados rede de computadores da empresa ou dos
meios convencionais de processamento, comunicao e guarda de informaes.
Todos devem assinar os termos que autorizam a acessar os recursos da
organizao e que responsabilizem os que causarem algum dano.

5.3 Auditoria

As auditorias so realizadas periodicamente, a fim de assegurar o

cumprimento das normas. A empresa, quando tiver razes empresariais legtimas,
pode monitorar e/ou registrar o envio/recebimento de mensagens do correio
eletrnico, o acesso navegao a internet, aos sistemas aplicativos e todos os
softwares instalados nas estaes de trabalho e equipamentos portteis de qualquer
usurio, respeitando a confidencialidade do contedo auditado, mas dispensando
uma notificao prvia ao emissor ou receptor da comunicao.

40
A empresa considera razes empresariais legtimas os seguintes
itens:
Identificar e diagnosticar problemas de hardware e software
Prevenir o uso incorreto do sistema da empresa
Investigar possveis condutas ilegais por parte dos usurios, e
atividades no ticas e inadequadas
Assegurar conformidade com os direitos de propriedade,
licenas e obrigaes contratuais
Proteger os interesses empresariais da organizao
Qualquer irregularidade ou divergncia em relao a esta norma
deve ser avisada imediatamente rea de Segurana da Informao da empresa,
que tomar medidas para regularizar a situao.
O no cumprimento das normas implantadas pela equipe de
Segurana da Informao ser considerado falta grave, sujeitando o infrator a uma
ao disciplinar apropriada podendo, inclusive, motivar demisso por justa causa.

5.4 Gesto de Acessos

A gesto de acessos da empresa visa o gerenciamento de

identidades digitais, autenticao, gerenciamento de senhas e controle de acesso
aos recursos da informao, controlando quem pode acessar informaes
proprietrias da organizao.
Os preceitos relevantes da gesto de acessos devem ser aplicados
como um todo no ambiente de sistemas informatizados, como as identidades
digitais, as senhas e o controle de acesso.

41
5.4.1 Identidades Digitais

As identidades digitais identificam individualmente o nome do

responsvel por tal identidade, possuindo esta e uma senha nicos para os sistemas
informatizados da empresa serem acessados pelo usurio.
Cada identidade digital deve estar de acordo com os padres de
nomenclatura especificados pelas normas de segurana, e tendo sempre uma data
limite para expirao em caso de uso de terceiros ou no utilizao.

5.4.2 Senhas

As senhas de acesso ao sistema devero ter no mnimo oito

caracteres em sua composio, contendo no mnimo um caractere numrico, um
alfabtico maisculo e minsculo e um especial (! @ # $).
Aps no mnimo 45 dias de uso, as senhas dos usurios devero ser
alteradas, e no aceitando as ltimas cinco senhas previamente utilizadas em suas
identidades digitais. Alm disso, expressamente proibido compartilhar senhas com
outro usurio, sendo ele interno ou externo empresa, ou anot-la em lugares de
fcil acesso a pessoas no autorizadas.
Todos os sistemas informatizados da empresa devem fixar como
trs o nmero de tentativas incorretas que o usurio pode tentar iniciar o logon de
sistemas. Caso o usurio no consiga o acesso aps as trs tentativas, sua
identidade digital bloqueada.

42
5.4.3 Controle de Acesso

O acesso s informaes e privilgios em sistemas informatizados

atribudos para os usurios devem ser estritamente baseados no conceito de
Necessidade de Conhecimento, ou seja, acessar apenas o que realmente lhe
necessrio e crucial ao seu trabalho.
Todos os usurios devem possuir uma autorizao explcita para
visualizar, alterar, excluir e divulgar informaes da organizao. Mas antes, tem
que ser positivamente identificados antes de estarem aptos a utilizar as informaes.
O desligamento de funcionrios ou o trmino de contratos de
terceiros acarretar na excluso da identidade digital dos mesmos, devendo a
identidade ser mantida permanentemente para fins de auditoria e histrico. Toda a
informao contida da empresa deve possuir mecanismos de controle de acesso,
garantindo que as informaes no sejam indevidamente divulgadas, modificadas ou
apagadas.
A utilizao de qualquer cdigo que possibilite contornar os
mecanismos de controle de acesso aplicados a sistemas informatizados
expressamente proibida no ambiente empresarial.

5.5 Software

Somente permitida a utilizao de cpias de software legal e que

tenham passado pelo processo de homologao da rea responsvel pela
segurana das informaes.
O usurio no deve adquirir instalar ou substituir qualquer software
sem a devida autorizao da rea de TI.

43
As necessidades de software devem ser submetidas rea de TI,
que efetuar um estudo de viabilidade da aquisio e homologao dos mesmos,
como forma de garantir sua aderncia aos padres e poltica de segurana da
empresa.
Toda contratao de servios de informtica, tais como treinamento,
desenvolvimento e consultoria, deve ser submetida apreciao prvia da rea de
TI, que dever providenciar uma anlise de custo/benefcio para aprovao da
diretoria da rea.
No permitida a duplicao, emprstimo, transferncia ou retirada
de software para outros equipamentos, dentro ou fora da empresa, assim como o
uso de jogos e protetores de tela (exceto os do Windows ou distribudos pela
empresa). A utilizao de programas de licena gratuita (freewares), de validade
temporria (sharewares) ou fornecida como demonstrao (demos) s poder ser
feita em casos de comprovada necessidade para o negcio, de forma legal e
suportada por autorizao formal do gestor da rea usuria e da rea de TI, desde
que no haja programas para a mesma finalidade j adquiridos ou homologados
pela empresa.
Para nenhum fim permitida ao usurio a utilizao de programas
no autorizados que afetem a segurana da informao tais como: programas para
descobrir senhas, rastrear portas e acessos, rastreamento de teclados, cavalos de
tria, vrus, ferramentas utilizadas por hackers, etc.

5.6 Hardware

O usurio dos sistemas informatizados da empresa responsvel

direto pela conservao, guarda e utilizao dos equipamentos que ele utiliza.

44
As necessidades de hardware, bem como as expanses da infraestrutura de informtica (redes, servidores, novas tecnologias), devem ser
submetidas rea de TI, que efetuar um estudo de viabilidade da aquisio e
homologao dos mesmos, como forma de garantir sua aderncia aos padres e
poltica de segurana da empresa.
Os drives de todos os micros, com exceo dos equipamentos
portteis, estaes de suporte e micros multimdia, devero ser desabilitados e os
novos computadores j devero ser instalados com os drives desabilitados (inclusive
CD-ROM). Se houver alguma necessidade especfica de se manter drives
habilitados (inclusive CD-ROM), deve-se conseguir autorizao formal do gestor da
rea.
No ser permitido que micros conectados rede tenham modems
ativados. A instalao de modem deve ser restrita aos casos de comprovada
necessidade e suportados por autorizao formal do gestor da rea. Sua utilizao
ser permitida apenas quando o micro estiver desconectado da rede.
vedada ao usurio a abertura ou tentativa de qualquer tipo de
manuteno nos equipamentos. Sempre que possvel, antes do envio de
equipamentos para manuteno, venda ou doao, as informaes neles contidos
devem ser removidas.

5.7 Internet / Correio Eletrnico

O acesso aos servios de Internet e Correio Eletrnico, atravs dos

micros conectados rede, destina-se prioritariamente para fins de interesse da
empresa, apenas para os usurios que possurem autorizao formal do gerente da
rea. O uso moderado, ocasional e responsvel destes recursos para fins

45
particulares tolerado, desde que no interfira nas atividades profissionais do
usurio e no comprometa o desempenho e a disponibilidade tais recursos.
No uso destes recursos, no permitido o acesso, a baixa
(download), a carga (upload), a armazenagem, o recebimento, o envio e a
retransmisso de material (comunicao, arquivo, mensagem, etc.) que possa ser
considerado por qualquer pessoa como discriminatria, obscena, ilegal ou ofensiva,
ou que contenha qualquer informao considerada confidencial ou de uso restrito
dentro da empresa.
A baixa de software deve ser submetida rea de TI, para
assegurar a no exposio da empresa a processos de utilizao indevida.
No permitida a transmisso ou retransmisso de propagandas,
boatos, piadas, correntes ou coisas do gnero, bem como mensagens que
contenham documentos anexos de remetentes desconhecidos. Se houver
necessidade de distribuir mensagens para grandes grupos de usurios e/ou arquivos
de grande volume, o emissor deve juntamente com a rea de TI pensar em uma
forma que no prejudique o trfego da rede.
No devem ser colocadas imagens contendo assinaturas nos
documentos que circulam na Intranet, Internet ou no correio eletrnico, pois o
usurio deve estar ciente de que a empresa reserva-se o direito de monitorar a
utilizao e inibir o mau uso destes recursos.

5.8 Backup e guarda de dados na rede

Os documentos da empresa devem ser armazenados nos servidores

de rede, sendo de responsabilidade da rea de TI a guarda, segurana e a cpia de
segurana (backup) dos arquivos e aplicativos contidos neles.

46
responsabilidade do usurio a guarda, segurana e o backup dos
arquivos contidos em seu equipamento, devendo utilizar racionalmente o espao em
disco reservado para seu setor, mantendo rotinas freqentes de remoo de
arquivos no mais utilizados e tendo sempre em mente que o espao em disco um
recurso esgotvel com alto custo de manuteno.
Os usurios de equipamentos portteis devem providenciar cpias
de segurana dos seus arquivos em unidades de disco (drives) da rede.

5.9 Antivrus

responsabilidade da rea de TI instalar e manter atualizada a

verso do antivrus nos equipamentos, orientando os usurios sobre as providncias
a serem tomadas em caso de contaminao. Os usurios devem manter o antivrus
ativo e residente, notificando qualquer anormalidade equipe de TI e ao usurio que
enviou o arquivo infectado.
Todo arquivo recebido, proveniente de qualquer mdia, no
importando sua origem, deve passar por um processo de verificao de vrus antes
de sua utilizao.

5.10 Polticas de rede

O usurio deve sempre permitir que as polticas definidas para o seu

perfil sejam implantadas em seu micro durante o processo de logon na rede, no
devendo alterar quaisquer caractersticas/restries impostas por tais polticas, sem
autorizao formal da rea de TI.

47
5.11 Comunicao Interna e Externa

Os usurios podero trocar mensagens (Chat de Texto) com outros

usurios internos atravs de software de Mensagens Instantneas homologado pela
rea de TI, sendo liberados pelos gestores de cada rea, que definiro quais os
usurios que estaro aptos a utilizar este recurso.
A

troca

de

mensagens

com

usurios

externos

(clientes,

fornecedores, parceiros, etc.) tambm ser atravs de software de mensagens

instantneas homologado pela rea de TI. Como pr-requisito bsico para utilizao
deste recurso o usurio dever ter acesso Internet liberado, mas sendo proibida a
transferncia de arquivos, chat de udio, chat de vdeo e jogos on-line atravs do
software de mensagens instantneas.
Os recursos de mensagens instantneas so prioritrios para
assuntos de interesse da empresa, estando sujeito monitorao. A utilizao
pessoal permitida de forma moderada.

5.12 Comunicao sem fio

A empresa disponibiliza para os profissionais alocados em suas

unidades de negcio infra-estrutura de rede sem fio para comunicao de estaes
de trabalho, notebooks e outros dispositivos capazes de utilizar esta tecnologia.
Cabe a ela definir os critrios aos quais os colaboradores devero obedecer para
serem elegveis ao acesso ao servio de conexo rede sem fio (wireless).
A utilizao da infra-estrutura de rede sem fio deve ser dirigida
aplicaes leves. Para aplicaes que demandem grande carga dos recursos de

48
rede, recomenda-se a utilizao de redes com fio. Tal recurso restrito a
profissionais registrados nos domnios de controle de acesso da organizao.
As informaes trafegadas atravs da rede sem fio da empresa so
criptografadas utilizando sempre os algoritmos mais robustos disponveis na infraestrutura instalada, e sempre autenticando os usurios utilizando estrutura de
chaves publicas e grupos de acesso.
Somente redes sem fio devidamente homologadas pela empresa
podem ser utilizadas dentro das dependncias de suas unidades de negcio, sendo
mantidos registros de acesso para fins de auditoria e anlises gerais.
O acesso sem fio direto entre dispositivos mveis (Ex.: Notebook
para Notebook) no autorizado.

5.13 Equipamentos Portteis

Todos os colaboradores que utilizam equipamentos portteis para

realizao de suas atividades profissionais devero assinar um termo de
responsabilidade e recebimento do tal equipamento.
Orientaes sobre os cuidados fsicos, das informaes e com a
segurana pessoal que devem ser tomados na utilizao de equipamentos portteis
devem ser distribudas para todos os usurios de tais equipamentos pela rea de
Tecnologia da Informao.

5.14 Padres de TI

Objetiva definir os padres de criao e utilizao para:

IDs de rede e descries

49
Dados Cadastrais
Conta de correio eletrnico (e-mail)
Limites para envio e recebimento de e-mails
Limites para Caixa de Entrada de e-mail (mailbox)
Bloqueio no envio/recebimento de e-mails
Configurao para software de contedo de acesso Internet
Regras para servidores de arquivos
Requerimentos para Redes sem Fio

5.14.1 IDs de rede e descries

Os IDs de rede, ou User ID, tem como regra a criao de logon de

acesso da seguinte forma:
carlosda (Carlos Drummond de Andrade)
afonsohlb (Afonso Henriques de Lima Barreto)
Em caso de homnimos, ser utilizada a seqncia numrica aps o
User Id:
joses (Jose da Silva)
joses1 (Jose da Silva)
Para descrever o nome do funcionrio, deve-se escrev-lo inteiro,
sem abreviaes ou apelidos. De preferncia, devem-se evitar acentuaes ou ,
pois alguns sistemas reconhecem tais caracteres como especiais.
J para os prestadores de servio da empresa, acrescenta-se a sigla
ext. (externo).

50
ext.joaquimla (Joaquim Lopes Almeida)
ext.elisangelapf (Elisangela Perez Fagundes)
Para descrever o nome do prestador de servio, deve-se utilizar o
nome completo, sem abreviaes e apelidos, mais o nome da empresa a qual ele
pertence.
Paulo Jose Cunha IBM
Marilia Gomes - CISCO
H alguns casos em que criado um ID genrico, que no seguem
os padres de senha, validade dos demais usurios, sendo feitos da seguinte
maneira:
producao (usurios da rea de produo da empresa)
embalagem (usurios da rea de embalagem da empresa)
Nestes casos, a senha no pode expirar e o ID no tem acesso email e Internet, por exemplo.

5.14.2 Dados cadastrais

Os dados cadastrais devem ser preenchidos por completo sempre

que possvel, mas os principais so os campos Cargo, Empresa, Departamento e
Telefone.
Na Figura 2 mostrado como devem ser preenchidos os dados de
um funcionrio na criao de seu User ID, respeitando todas as normas que esto
inclusas nos Padres de TI, como o setor, o cargo, ramal, etc., e seguindo as regras
de como deve ser criado a descrio do logon, no campo Alias.

51

Figura 2 Dados Cadastrais

Fonte: Padres de TI da empresa

5.14.3 Conta de Correio Eletrnico (e-mail)

Para funcionrios / estagirios, as contas de e-mail devem ser

criadas usando o primeiro e o ltimo nome.
Carlos Drummond de Andrade = carlos.andrade@empresa.
com.br
Caso exista dois ou mais funcionrios com o mesmo nome, deve-se
seguir a seguinte regra:
Jose da Silva = jose.silva.js1@empresa.com.br
Jose da Silva = jose.silva.js2@empresa.com.br
Jose da Silva = jose.silva.js3@empresa.com.br
Por padro, prestadores de servio no devem possuir conta de email externo. Caso seja necessrio, o formato da conta ser feita da seguinte forma:

52
Beatriz Leite Figueiredo = ext.beatriz.figueiredo@empresa.
com.br
Augusto Chavedar = ext.augusto.chavedar@empresa.com.
br

5.14.4 Limites para envio e recebimento de e-mails

Sero permitidos o envio e recebimento de mensagens com no

mximo 5MB (megabytes), contando com o anexo, tanto para mensagens internas
como para fora da empresa, sendo permitidos no mximo quinze destinatrios por email.

5.14.5 Limites para Caixas de Entrada de e-mail (Mailbox)

Os limites para tamanho de mailbox so definidos de acordo com a

posio hierrquica dos funcionrios, e somente permitida a alterao de faixa em
caso de promoo ou mudana de cargo.
Como exemplo de limites para acionistas, temos:
Passa a receber avisos: 1400 MB
Deixa de enviar mensagens: 1500 MB
Como exemplo de limites para gerentes e secretrias:

Passa a receber avisos: 100 MB

Deixa de enviar mensagens: 120 MB

Como exemplo de limites para funcionrios/estagirios:

Passa a receber avisos: 50 MB
Deixa de enviar mensagens: 60 MB

53
5.14.6 Bloqueios no envio/recebimento de e-mails

Visando a segurana e desempenho, so bloqueados arquivos

anexos em e-mail, tanto interno quanto externo, por nome e por verificao de MIME
Type (cabealho do arquivo).
Extenses a serem bloqueadas por nome:
386; ACM; ADE; ADP; APP; ASP; ASX; AVB; BAS; BAT; C;
CER; CGI; CLA; CMD; CNV; COM; CPL; CRT; DBX; DRV;
DVB; FXP; GMS; HIV; HTA; HTT; INF; INI; INS; ISP; ITS; JS*;
JTD; KSH; M1V; MAD; MAF; MAG; MAM; MAQ; MAR; MAS;
MAT; MAU; MAV; MAW; MD*; MHT; MP2; MP4; MPA; MPD;
MPE; MPT; MSC; MSP; MST; NWS*; OBD; OCX; OFT; OPO;
OPS; OV*; PCD; PCX; PDB; PHP; PI; PIF; PL; PLX; POT;
PPS; PRC; PRF; PRG; PSP; PST; QPW; RM; REG; SCF;
SCR; SCT; SH; SHB; SHS; SHW; SMM; SYS; TLB; TSP;
UBX; URL; VB; VB*; W1V; WAB; WBK; WBS; WBT; WIZ;
WM*; WPD; WS; WSC; WSF; WSH
H tambm as extenses que so bloqueadas por verificao de
MIME Type:
ELF; EXE; DLL; VXD; CLASS; LNK; MSI; CHM; MDB; HLP;
CPT; GMS; MAC; WMF; AST; WMV; SWF; MPG; MPEG; AVI;
BND; WAV; MOV; QT; QTM; RM; MID; MP3; RA; RAM; LZH;
ARJ; HQX; Z; BIN; CAB; TD0; BZ2; UU; ACE

54
Os arquivos ficaro guardados em uma rea de quarentena e, caso
sejam relacionados s atividades profissionais, podem ser repassados para os
destinatrios do e-mail atravs de aprovao da rea de TI.
Ser bloqueado todo o tipo de palavres, palavras de baixo-calo,
textos padres para correntes, HOAX (boatos falsos) ou phishing scan, palavras de
cunho discriminatrio, tanto no envio quanto no recebimento dos e-mails. No caso
do e-mail ser interno, o mesmo eliminado da caixa de sada do emissor e
enviado um e-mail indicando o motivo do bloqueio. Para o recebedor apenas o email eliminado automaticamente antes que possa ser lido.

5.14.7 Configurao para software de contedo de acesso internet

Conforme a Poltica de Segurana da Informao da empresa

mostra, proibido o download, o upload, a armazenagem, o recebimento e o envio
de material que possa ser considerado discriminatrio, obscena, ilegal ou ofensiva,
ou que contenha qualquer informao confidencial da empresa.
Os websites encontram-se associados 48 categorias e cada
categoria classificada de acordo com a Poltica de Segurana, que libera, bloqueia
ou controla o acesso. Como a proliferao deles enorme, existem situaes onde
um determinado website no se encontra em nenhuma das categorias existentes.
Nestes casos o acesso a estes no-categorizados liberado por 30 minutos.
Para garantir este padro foi criada uma classificao com as
categorias existentes e suas restries, que divide os websites em bloqueados,
controlados por horrio e liberados, conforme mostra a figura 3. Assim o acesso s
concedido em tempo integral aos sites que realmente agregaro algum valor ao
conhecimento do usurio ou que no impactar em seu trabalho.

55

Figura 3 Classificaes e categorias de websites

Fonte: Padres de TI da empresa

Figura 4 Legenda das classificaes e categorias de websites

Fonte: Padres de TI da empresa

56
Podem existir categorizaes de websites que no atendam s
necessidades das empresas, ento poder ocorrer a recategorizao destes
websites aps avaliao da equipe de TI da Empresa.
A cada binio o subcomit de Segurana dever avaliar os softwares
de controle de acesso Internet disponveis no mercado e, caso identifique que
existe um software que traga melhores benefcios e controles para a empresa,
dever sugerir a substituio do mesmo.

5.14.8 Regras para servidores de arquivos

Os limites para pastas pessoais em servidores de arquivos so

definidos de acordo com a posio hierrquica dos funcionrios, e somente
permitida a alterao de faixa em caso de promoo ou mudana de cargo.
Como exemplo de limite para pastas pessoais para acionistas,
temos:
Limite: 1500MB
Como exemplo de limite para pastas pessoais para gerentes e
secretrias, temos:
Limite: 135MB
Como

exemplo

de

limite

para

pastas

pessoais

para

funcionrios/estagirios, temos:
Limite: 70MB
Seguindo a Poltica de Segurana, visando melhor desempenho e
segurana, ser bloqueada a gravao de arquivos com as seguintes extenses nas
pastas pessoais nos servidores de arquivos:

57
mp2, mp3, mp4, mpe, mpeg,mpg, wmf, wmv, wav, bmp, gif,
jpeg, jpg, tiff, pst, ost
Os limites para pastas departamentais em servidores de arquivos
so definidos de acordo com a quantidade de funcionrios em cada setor,
multiplicando o nmero de usurios do departamento pela quantidade de espao de
500 MB.
Por questes de segurana e desempenho ser bloqueada a
gravao de arquivos com as seguintes extenses nas pastas departamentais nos
servidores de arquivos:
mp2, mp3, mp4, mpe, mpeg,mpg, wmf, wmv, wav, bmp, gif,
jpeg, jpg, tiff, pst, ost
Existem alguns departamentos que utilizam arquivos com as
extenses acima para atividades profissionais. Nestes casos o bloqueio removido.

5.14.9 Requerimentos para Redes Sem Fio

A rede sem fio homologada para comunicao dentro das

dependncias da empresa permitida para comunicao de dispositivos sem fio,
utilizando informaes criptografadas.
O dispositivo cliente, para acessar a rede wireless, deve possuir
como sistema operacional Windows XP Service Pack 2 ou superior. Para
dispositivos portteis o sistema operacional deve ser Windows Mobile 5.0 ou
superior.
A configurao dos parmetros de acesso a rede sem fio da
empresa deve ser automtica e transparente para os usurios que utilizam o servio
de diretrio. Todo profissional que utiliza a rede sem fio deve possuir seu usurio e

58
equipamento registrados no servio de diretrio da empresa, e possui um certificado
digital especfico para utilizao deste servio com o perodo de validade de 1 ano. A
autenticao para utilizao baseada no protocolo EAP-TLS utilizando uma
estrutura de certificados digitais.
Os registros de autenticao de acesso dos usurios devem ser
mantidos por um perodo de 30 dias.

5.15 Futuras melhorias

A empresa visa cobrir 93% das principais medidas de segurana

planejadas por ela, explorando oportunidades como dar continuidade aos planos de
negcios j iniciados, obter certificaes como a ISO 27001, ter uma equipe de
resposta incidentes e recuperao de desastres e implantar o single logon.

5.16 Incorfomidades

As inconformidades com a poltica de segurana da empresa

originam-se de diversos motivos. Desde tentar burlar os sistemas informatizados
para obter acessos no autorizados a softwares at extraviar informaes de cunho
confidencial para proveito prprio, tais aes so previstas pela Poltica de
Segurana para que no ocorram.
Todo ser humano suscetvel a mudana, ento quando a maioria
dos usurios acha que esta perdendo direitos que possua antes, ou seja, a empresa
est privando o usurio de algumas atividades, o usurio tenta buscar meios de
conseguir o que quer de outras formas. No caso de roubo de informaes o usurio
tem motivaes que o faro conseguir a informao que precisa por qualquer meio,

59
seja vasculhando o lixo ou tentando se esquivar do sistema de controle de acesso,
isto por que h interesse de fora maior.
O tipo mais comum de incidncia a contaminao do ambiente por
trojans e vrus. Apesar dos controles de Internet os usurios ainda acabam clicando
em links indevidos que possuem agentes maliciosos, prejudicando o ambiente.
Na empresa no existe penalidade, o foco sempre dar instruo
para o colaborador que no cumpriu com as normas estabelecidas, tendo premissa
que h um grande investimento no funcionrio para penaliz-lo e perder o
investimento at ento realizado. Dessa forma, a empresa visa sempre instruir o
funcionrio de modo a mudar seu comportamento, mostrando que o no
cumprimento das normas pode prejudicar os objetivos da empresa.

6. CONSIDERAES FINAIS

medida que dados e informaes tm, para as empresas, um valor

inestimvel, fica, cada vez mais, importante proteg-los de ataques maliciosos que

60
pretendem interceptar sua transmisso passivamente, ou seja, buscando o
conhecimento sem prejudicar a integridade dos dados ou ativamente, ou seja,
destruindo ou danificando seu contedo.
Polticas de segurana tendem, por princpio, a minimizar o risco
integridade dos dados, fazendo-se valer de regras impostas aos usurios como o
proposto pela norma ISO 27001. Tais regras s se fazem teis com a
conscientizao dos usurios, para que sigam as recomendaes e as burlem,
mesmo que, para isso, haja a necessidade de imposio de punies.
Pelo que pudemos verificar, pelo exposto no estudo de caso, mesmo
com as atuaes de pessoas ligadas empresa que tentam burlar as polticas de
segurana, elas so minoria e os ataques de ladres virtuais e engenheiros sociais
tm sido dificultado.

REFERNCIAS

CERT.br. Disponvel em: www.cert.br

DIAS, C. Segurana e Auditoria da Tecnologia da Informao. Rio de Janeiro: Axcel
Books, 2000.

61
DIAS, C.A. Hipertexto evoluo histrica e efeitos sociais, 1999. Disponvel em:
<http://www.scielo.br/scielo.php?pid=S0100-19651999000300004&script=sci_arttex
t&t lng=es>. Acesso em 10 mar. 2009.

FERREIRA, F.N.F.; ARAJO, M.T. Poltica de Segurana da Informao Guia

Prtico para Elaborao e Implementao. Rio de Janeiro: Editora Cincia Moderna
Ltda., 2006.

GURTNER, C. Transcrio: Criptografia. Escriba Cafe, 2006. Disponvel em

<http://www.escribacafe.com/criptografia/>. Acesso em 23 mar. 2009.

INFOWESTER, Ataques DoS (Denial of Service) e DDoS (Distributed DoS).

Disponvel em: <http://www.infowester.com/col091004.php>. Acesso em: 20
abril.2009a.

INFOWESTER,
Firewall,
conceitos
e
tipos.
Disponvel
<http://www.infowester.com/firewall.php>. Acesso em 14 fev. 2009b.

em:

INFOWESTER,
Introduo

Biometria.
Disponvel
<http://www.infowester.com/biometria.php>. Acesso em 10 maio. 2009c.

em:

ITGI - THE IT GOVERNANCE INSTITUTE. COBIT: control objectives for information

and related technology. United States of America, 2000. Disponvel em: <http://www.
itgi.org>.

KAHN, David. Histria da criptologia Histria antiga, fevereiro 2004. Disponvel em:
<http://www.numaboa.com.br/criptologia/historia/antiga.php>.

LINHA DEFENSIVA. FAQ sobre Vrus e Antivrus. Disponvel em:

<http://www.linhadefensiva.org/faq/antivirus-antispyware/#antivirus-01>. Acesso em
04 maio. 2009.

MICROSOFT, O que so vrus, worms e cavalos de Tria. Disponvel em:

<http://www.microsoft.com/brasil/athome/security/viruses/virus101.ms px>. Acesso
em: 15 abril. 2009a.

62
MICROSOFT, O que um vrus de computador? Disponvel em:
<http://www.microsoft.com/brasil/athome/security/viruses/intro_viruses_what.mspx>.
Acesso em: 20 abril. 2009b.

MUNDOENLINEA. El 94% de las empresas que pierden sus datos desaparece,

2005.
Disponvel
em:
http://www.mundoenlinea.cl/noticia.php?noticia_id=638
&categoria_id=35.
NEITZEL, L.C. Evoluo dos Meios de Comunicao, 2003. Disponvel em:
<http://www.geocities.com/neitzeluiz/evolucao_comunic.htm>. Acesso em 15 mar.
2009.

PROMON Business & Technology Review. Segurana da Informao Um

diferencial determinante na competitividade das corporaes. So Paulo, 2005.

SMOLA, M. Gesto da segurana da Informao uma viso executiva. Rio de

Janeiro: Editora Campus, 2003.

SILVA, V.B. Impacto na Implantao de Poltica de Segurana da Informao na

Novo Nordisk Produo Farmacutica do Brasil, 2005. Disponvel em:
<http://www.ccet.unimontes.br/arquivos/monografias/76.pdf>.
Acesso
em
18
Fev.2009.

VITORINO, J.A.; CAMARGO, L.E.S.; MARTINS, J.R.S.; PESSA, M.S.P. Modelo

para gesto de servios de suporte a tecnologia da informao em Hospital
Universitrio. Disponvel em: <http://www.simpep.feb.unesp.br/anais/anais_13/arti
gos/433.pdf>. Acesso em: 15 Abril. 2009.