Beruflich Dokumente
Kultur Dokumente
MONOGRAFIA
CURITIBA
2011
CURITIBA
2011
AGRADECIMENTOS
RESUMO
ABSTRACT
LISTA DE FIGURAS
SUMRIO
1 INTRODUO..........................................................................................................7
1.1 TEMA.....................................................................................................................7
1.2 PROBLEMA...........................................................................................................8
1.3 OBJETIVOS...........................................................................................................8
1.3.1 Objetivo geral....................................................................................................8
1.3.2 Objetivos especficos.......................................................................................8
1.4 JUSTIFICATIVA....................................................................................................9
1.5 PROCEDIMENTOS METODOLGICOS.............................................................10
2 EMBASAMENTO TERICO...................................................................................11
2.1 INFRAESTRUTURA FSICA EM TI......................................................................12
2.2 INFRAESTRUTURA LGICA EM TI....................................................................16
2.3 SEGURANA EM DATA CENTER......................................................................19
2.4 ENGENHARIA SOCIAL.......................................................................................22
3 POLTICAS DE SEGURANA EM TI....................................................................23
4 CONCLUSO.........................................................................................................33
REFERNCIAS..........................................................................................................34
1 INTRODUO
1.1 TEMA
Em virtude da grande disseminao de recursos de Tecnologia da
Informao (TI) pode-se enfatizar o aumento significativo das informaes
armazenadas, valorizao dos recursos arquivados e utilizados pelas instituies.
Diante de um cenrio em grande ascenso e necessidade de utilizar os recursos de
TI, no se deve esquecer ou deixar de se preocupar com a segurana que se deve
aplicar a configuraes lgicas e a infraestrutura fsica utilizada para acessar estas
informaes.
Ao refletir qual o alicerce para produo de um produto, pesquisa,
desenvolvimento ou aquisio de matria prima a fim de suprir o ciclo de fabricao
de um produto, normalmente esto relacionados valores como: criticidade,
investimento, conhecimento, informao e mo de obra qualificada. Para que se
possam colocar em prtica as aplicaes das atividades avaliando o objetivo
principal das organizaes com ou sem fins lucrativos de suma importncia o valor
da informao, para que desta forma se possa atingir o objetivo principal de cada
empresa, assim como, prospecto para crescimento e permanncia destas no
mercado.
Para Moresi (2000, p. 14) a importncia da informao para as organizaes
se constitui um dos recursos mais importante e diretamente relacionado ao sucesso
do empreendimento. De acordo com o autor ela tambm considerada e utilizada
como um fator estruturante e um instrumento de gesto. Para ele a gesto efetiva
de uma organizao requer a percepo objetiva e precisa dos valores da
informao e do sistema de informao.
Este estudo visa descrever como identificar e assegurar que os recursos (TI)
disponibilizados dentro de uma instituio, possam ser utilizados com uma poltica
1.4 JUSTIFICATIVA
Em virtude da crescente utilizao e aplicao de recursos de TI no
cotidiano h necessidade de assegurar que as informaes contidas ou enviadas,
bem como os equipamentos utilizados no sofram ataques ou violaes por
terceiros. Com a ascenso deste uso as empresas confiam aos recursos de TI
facilitao de seus processos produtivos, da comunicao e do armazenamento de
informaes. Tais aplicaes apresentam relevncia em funo de seu teor e
funcionalidade utilizados nas instituies, ou seja, possuem grande valor para a
empresa, pois por meio deles que as informaes so mantidas e guardadas.
O valor da informao est relacionado ao tipo de dado gerado ou
armazenado pelos recursos de TI e ao sigilo empresarial ou segredo industrial que
envolve a marca ou processo. Por exemplo, quanto vale a frmula de um
refrigerante, cosmtico ou sistema de informao? Ou ento qual o lucro que uma
indstria automobilstica teve no ltimo ano? Ou ainda quanto vale uma planilha com
balano financeiro e outras informaes contbeis de um banco? Certamente, para
seus donos e acionistas estas informaes tm muito valor. Afinal, o acesso de uma
destas informaes por um concorrente ou a perda de dados utilizados em
processos internos pode representar prejuzos e danos imensurveis, seja sob o
aspecto financeiro ou comercial.
Portanto, quando se tem diretrizes de segurana fsica e lgica as
instituies podem aplic-las na prtica, de modo eficaz e efetivo, e com isso
proteger seu patrimnio financeiro e de informaes. Alm disso, com a aplicao de
10
11
2 EMBASAMENTO TERICO
A poltica de segurana deve ser estabelecida visando preveno de
incidentes, inviabilizando acessos indevidos, risco aos equipamentos e a estrutura
lgica dos ativos de TI.
Considerando os fatos atuais em que existem diversas formas de
criminalidades, no se pode deixar de citar os crimes cibernticos (fraudes que
utilizam recursos de eletrnica ou TI), que de um modo geral esto cada vez mais
presentes no cotidiano. Dentre as de operaes mais comuns a serem fraudadas se
destacam o acesso s contas bancrias, desvios de informao e invaso de
computadores.
Devido facilidade em acessar equipamentos de informtica e grande
evoluo de conhecimento tcnico, estas fraudes esto se disseminando, pois
normalmente tornam-se lucrativa delimitando assim um grande investimento. Os
especialistas em crimes cibernticos possuem uma viso estratgica e planejamento
para aplicar golpes e lesionar ose concorrentes do mercado comercial, afinal uma
simples falha de segurana pode representar uma infiltrao e conseqentemente o
roubo de informao ou falha no procedimento habitual das instituies.
A Gesto de Segurana da Informao a ao que protege a informao
de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar
os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades
de negcio (ABNT ISO/IEC 17799).
No entanto, a poltica de segurana no define procedimentos especficos
de
manipulao
proteo
da
informao,
mas
atribuem
direitos
12
Roubos e furtos;
Sabotagem e vandalismo;
Sequestro e chantagem;
Fogo e fumaa;
Desmoronamento de prdios.
Diante da necessidade em manter uma segurana e conforto para os
13
14
15
16
as
instrues
dos
fabricantes
para
proteo
dos
17
18
biomtricas; o que a pessoa possui: uso de cartes ou chaves; o que a pessoa sabe:
uso de senha ou cdigos (SALGADO, BANDEIRA E SANCHES DA SILVA, 2004, p.
87).
Realizar uma cpia de segurana (backup), das informaes pode ser um
dos itens mais importantes da preservao dos dados da empresa. Com a utilizao
cada vez mais ascendente dos computadores e menos utilizao de arquivos em
papis e livros, pode-se dizer que o volume de dados armazenados cada vez
crescente, desta forma o armazenamento das informaes passa ser um item de
relevncia.
Um servidor que apresente falhas no disco, incndio, alagamento e outros
desastres podem levar a empresa falncia por falta de informao. Muitas vezes o
valor da informao muito mais relevante que a localizao e espao fsico
utilizado. Empresas que utilizam como fonte de renda a pesquisa e desenvolvimento
de novos produtos, como por exemplo: indstrias farmacuticas, laboratrios,
institutos de pesquisa e desenvolvimento de novas tecnologias, podem ter um fator
crtico com relao segurana e roubo de informao.
Mecanicamente pode-se dizer que equipamentos possuem segundo seus
fabricantes (MTBU) uma durabilidade mdia e desgaste fsico e lgico de acordo
com a condio de armazenamento e tempo de vida. Desta forma, as cpias
efetuadas devem ser testadas ao longo do tempo, respeitando-se a vida til das
mdias e o tempo mximo de regravaes estabelecidas pelo fabricante, pois
existem vrios registros de perda de informao por falta de cuidado com esses
itens (SOUZA, 2004, p. 22).
Entende-se que o equipamento ter comeo, meio e fim, cabendo ao
administrador de rede e demais responsveis avaliar, realizar manutenes
preventivas e corretivas para que desta forma torne possvel realizar um
planejamento e realizar a manuteno, substituio, aquisio de equipamentos e
dispositivos utilizados.
De acordo com um planejamento do corpo tcnico da empresa, deve ser
realizado um dimensionamento e levado em considerao o software utilizado para
restaurao, gerenciamento e que a realizao do backup acontece se possvel de
forma centralizada, ou seja, a cpia deve ser realizada em reas especificas.
Tambm deve ser levado em considerao como parte fundamental do
19
Pen drive;
Disquetes.
20
acomodaes
devem
ser
permanentemente
gerenciadas
julgam
de
maior
valor,
complexidade
importncia
como:
disponibilidade de servios de rede, link para acesso internet, e-mail, sitio, banco
de dados, servidores, reas de armazenamento (storages), switches, routers, entre
outras. Muitas vezes o gerenciamento e infraestrutura das centrais de telefone
tambm ficam alojadas neste local.
Com o crescimento, ascenso e velocidade em que as informaes devem
ser repassadas, ferramentas como editores de texto, planilhas eletrnicas, Sistemas
Integrados de Gesto Empresarial (SIGE), e-mail, acesso internet e utilizao de
telefone so servios imprescindveis para comunicao interna e externa entre
funcionrios, colaboradores e clientes.
De acordo com a importncia das aplicaes e equipamentos alocados em
um Data Center necessrio estabelecer algumas polticas de acesso e meios de
segurana, entre eles: Controle de acesso, monitoramento, combate e extino de
incndio, climatizao e energia. A seguir cada um destes itens detalhado:
assim
vulnerabilidade.
Por
exemplo,
sistemas
de
21
22
bem
articulados,
dinmicos
muito
envolventes.
So
23
3 POLTICAS DE SEGURANA EM TI
Pode-se considerar que a poltica de segurana em TI o meio formal de
aplicar regras para a organizao, recomendando e explanando as necessidades
para diminuir o risco de acesso indevido s informaes. Uma poltica de segurana
deve conter de forma detalhada e clara as decises de inventrio dos equipamentos,
liberao e bloqueio no acesso ao sistema de informao da empresa.
Para tanto fundamental criar um grupo para gesto de segurana de TI e
estabelecer
os
principais
objetos
da
poltica
serem
considerados:
24
25
26
Diretor/Gestor de TI Infraestrutura;
27
28
29
coletivo
para
atingir
os
melhores
recursos
do
sigilo,
recm-contratado
deve
receber
um
documento
com
as
ao setor de
recursos humanos ou
30
Gestores
supervisores
os
responsveis
pelos
setores
31
conter:
cabeamento
lgico,
switches,
routers,
iluminao
32
33
4 CONCLUSO
Conforme as informaes descritas neste trabalho possvel identificar a
existncia de vrios dispositivos e mecanismos que so utilizados para manter o
acesso a recursos da tecnologia de informao com integridade, disponibilidade e
sigilo. Desta forma, pode se dizer que com a implantao ou melhoria de uma
poltica de segurana em TI, a empresa pode organizar, padronizar, administrar e
criar mecanismos para diminuir a vulnerabilidade que seus bens e valores ficariam
expostos.
A poltica de segurana de TI deve ser elaborada, avaliada, atualizada e
gerenciada constantemente. Para tanto, fundamental a criao de um conselho
composto por executivos e gestores que devem cumprir efetivamente as regras e
diretrizes estabelecidas no documento e assim alcanar suas metas e objetivos,
assegurar e minimizar o impacto relativo a falhas e vulnerabilidades fsicas, lgicas e
humanas para proteo do patrimnio e informaes relevantes da empresa.
Considerando que o investimento em segurana fsica e lgica
permanente, pois os equipamentos possuem um tempo de vida til e tambm h
necessidade de ampliao dos recursos de TI conforme a expanso, substituio e
atualizao do equipamento ou sistema. Diante deste cenrio, avalia-se de forma
positiva o investimento com infraestrutura, controle de acesso e segurana dos
recursos fsicos e lgicos na empresa, uma vez que aplicando este investimento os
posteriores ocorrero de forma gradativa.
Aps realizar pesquisas correlatas ao tema segurana em TI e desenvolver
este trabalho, despertou a preocupao com a fragilidade de riscos e situaes
relativas segurana envolvendo recursos humanos (pessoas). Enfatiza-se, ento
como de suma importncia monitorar, controlar, realizar cpias de segurana, treinar
e conscientizar os colaboradores sobre a relevncia e consequncias com relao
implantao da Poltica de Segurana em TI na empresa.
Para os prximos estudos se recomenda avaliar mecanismos para deteco
das
vulnerabilidades
nos
sistemas,
ferramentas
de
controle
de
acesso,
34
REFERNCIAS
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS, ABNT. NBR ISO/IEC 17799:
Tecnologia da informao - Cdigo de prtica para a gesto da segurana da
informao, 2001.
CRUDO, Adriana P. et al. Auditoria de segurana lgica e da confidencialidade em
computao. Anais do VII SemeAD. So Paulo: FEA-USP, realizado nos dias 11 e
12 ago. 2005.
GUIA de Switches Cisco Systems. Switches. Mude: So Paulo, jul. 2006.
MARCIANO, Joo Luiz P. Segurana da informao: uma abordagem social. 2006.
212 f. Tese (Doutorado em Cincia da Informao) Programa de Ps-Graduao
em Cincia da Informao do Departamento de Cincia da Informao e
Documentao, Universidade de Braslia, Braslia, 2006.
MENEGUITE, Ronaldo Louro. Segurana da informao. 2010, 37f. Trabalho de
concluso de curso (Curso Tcnico de Informao Industrial), Unidade de Ensino
Descentralizada de Leopoldina, Centro Federal de Educao Tecnolgica de Minas
Gerais. Leopoldina, 2010.
MORAES, Pollette B. de. Infra-estrutura de internet data Center (IDC). Disponvel
em: www.projetoderedes.com.br. Acesso em: 10 de novembro de 2011.
MORESI, Eduardo Amadeu D. Delineando o valor do sistema de informao de uma
organizao. Ci. Inf., Braslia, v. 29, n. 1, p. 14-24, jan./abr. 2000.
NAKAMURA, Emilio T.; GEUS, Paulo L. Segurana de redes em
ambientes cooperativos. Minas Gerais: Futura, 2003.
PEIXOTO, Mrio Csar P. Engenharia social e segurana da informao na
gesto corporativa. Rio de Janeiro: Brasport, 2006.
35