Professional Documents
Culture Documents
Sumrio
1 Introduo 2 Descrio da Empresa 2.1 Misso 2.2 Viso 2.3 Valores 2.4 Cultura 2.5 Objetivos 2.6 Faturamento 2.7 Ramo de Negcio 2.8 Tamanho da Empresa 2.9 Nmero de Empregados 2.10 Principais Atividades da empresa 3 Segurana da Informao 3.1 Prticas voltadas para a Segurana da Informao na Empresa 4 Tcnica para Avaliao de Riscos 4.1 Descrio da tcnica Matriz de Probabilidade/Consequncia 4.2 Relao da Empresa com a Matriz de Probabilidade/Consequncia 4.3 Justificativa 5 Plano de Implantao da Norma ISO/IEC 27002 5.1 Objetivo da Norma ISO/IEC 27002 5.2 Metodologia utilizada para Implantao da Segurana da Informao na empresa 5.3 Atividades Previstas e Prazos 5.4 Responsveis 5.5 Setores Alvos 5.6 Custo Estimado 6 Bibliografia
1. Introduo
Neste trabalho ser identificado os fatores que constituem o plano de segurana de tecnologia da informao e a gesto da segurana da informao e avaliar o grau de importncia deles para a empresa caso de estudo deste trabalho.
O Relatrio Gerencial o objetivo principal deste trabalho. Ele ir mostrar como est a segurana da informao da empresa, auxiliar a implantao do plano de segurana, tcnicas de anlise de riscos, procedimentos de controles, e tambm com a criao do plano de segurana da informao o mais prximo da realidade da empresa.
2. Descrio da Empresa
Criada em 2000, a Xxxxxx Soft Informtica, est sempre focada na efetivao de resultados ao cliente. Contando atualmente com mais de 10 transportadoras como clientes ativos na regio de LavrasMG. Os fundadores da empresa caso de estudo deste trabalho conseguiram ver uma oportunidade de negcio na rea de Tecnologia da Informao para atuar em segmentos de mercado como: operacional logstico e financeiro. Um das filiais da empresa localizada na cidade de Lavras, estado de Minas Gerais, a presente empresa buscou usar as melhores tcnicas de desenvolvimento de software presentes no mercado, desenvolvendo, assim, solues robustas e que atendam s necessidades de seus clientes. Nas prximas subsees deste relatrio gerencial so enunciadas caractersticas da empresa caso de estudo.
2.1 Misso
Transformar em realidade as aspiraes dos nossos clientes e stakeholders, atravs de solues de tecnologia e inovao para os nossos segmentos de atuao: operacional logstico e financeiro.
2.2 Viso
Se tornar o maior e melhor fornecedor de tecnologia nos segmentos de atuao - operacional logstico e financeiro, alm de ser reconhecido e admirado nacionalmente, por agir com amor e determinao para atrair e cativar os clientes, sendo estes, seu maior patrimnio.
2.3 Valores
Integridade; Energia e atitude positiva; Respeito; Foco no resultado; Trabalho em equipe.
2.4 Cultura
A empresa alvo de estudo deste trabalho tem o compromisso de conhecer, aplicar e atender a uma cultura baseada nos seguintes tpicos: Acolher de maneira pr-ativa s necessidades e anseios de seus clientes, com o propsito de aumento da satisfao de seus clientes e um maior tempo de vnculo comercial. Agir de maneira responsvel no atendimento das condies permitidas aplicveis ao negcio e comunidade de sua importncia.
Fomentar informao limpa, clara e concisa entre os nveis da empresa e com seus stakeholders estabelecendo um lao que se baseia na responsabilidade social, no respeito e estima ao prximo, no trabalho conjunto e no desenvolvimento que no envolvam riscos ambientais. Aperfeioar de maneira contnua as caractersticas salientadas acima atravs do aprimoramento de seus processos, da diminuio do consumo de recursos e evitar possveis desperdcios, para que assim seja um grande nome no segmento de mercado em que atua.
2.5 Objetivos
Os objetivos principais da empresa so: Desenvolver softwares para a logstica com integridade e confiana; Melhoria nos processos de desenvolvimento de softwares; Melhoria contnua em aspectos comercias; Atendimento ao cliente. Suporte e implantao com eficincia;
2.6 Faturamento
O faturamento da empresa caso de estudo no foi divulgado por motivos de restrio aos dados financeiros, acordados anteriormente em reunio do grupo com um dos scios.
Porte Microempresa Pequena Empresa Mdia Empresa Mdia-grande Empresa Grande Empresa
Faturamento anual em R$ Menor ou Igual a R$2,4 milhes Maior que R$2,4 milhes e menor ou igual a R$16 milhes Maior que R$16 milhes e menor ou igual a R$90 milhes Maior que R$90 milhes e menor ou igual a R$300 milhes Maior que R$300 milhes
3 Segurana da Informao
Segurana da informao, conforme Beal (2005), o processo de proteo da informao das ameaas a sua integridade, disponibilidade e confidencialidade. Smola (2003) define segurana da informao como uma rea do conhecimento dedicada proteo de ativos da informao contra acessos no autorizados, alteraes indevidas ou sua indisponibilidade. Em um programa de segurana preciso planejamento, execuo e controle durante toda a sua elaborao. Para que um programa de segurana em uma empresa d certo, preciso um estudo das reais necessidades da mesma, com foco na misso da instituio. Depois, necessrio um levantamento das condies atuais dos processos existentes e dos principais servios utilizados. Finalizada a etapa de levantamento de dados, devem ser avaliadas todas as possveis ameaas que possam atrapalhar na realizao e as vulnerabilidades tambm devem ser detectadas. Com as vulnerabilidades registradas, deve-se ento determinar os custos envolvidos e a prioridade de execuo. A partir de todas estas informaes, inicia-se o processo de execuo em si. importante ressaltar que cada etapa de um programa de segurana deve ser muito bem estudada e planejada, pois cada etapa subsequente depende uma da outra. Com essas consideraes queremos firmar que o processo de segurana no tem fim. fundamental que a instituio tenha uma rea que foque especificamente a segurana, e deve trabalhar em parceria com as demais reas a fim de prover e garantir a segurana. As pequenas empresas como caso do nosso estudo tambm so atingidas por estes problemas de segurana de informao, porm dispem de menos recursos para investir na gesto da segurana da informao e manter uma rea somente para a segurana dentro dela.
ganho para a empresa a definio deste padro de segurana da informao. A partir das informaes, atividades, plano de implantao e cronogramas apresentados neste trabalho, a empresa ser capaz de implantar prticas para a segurana da informao no contexto de sua operao.
Integridade da Informao - tem como objetivo garantir a exatido da informao, assegurando que pessoas no autorizadas possam modific-la, adicion-la ou remov-la, seja de forma intencional ou acidental; Disponibilidade da Informao - garante que os autorizados a acessarem a informao possam faz-lo sempre que necessrio; Autenticidade da informao - a garantia de que somente pessoas autorizadas tero acesso a ela, protegendo-a de acordo com o grau de sigilo do seu contedo; Autenticidade da Informao - garantia de que num processo de comunicao os remetentes sejam exatamente o que dizem ser e que a mensagem ou informao no foi alterada aps o seu envio ou validao. Confidencialidade da informao - garantia de que a informao foi produzida em conformidade com a lei; Ausncia de um gestor do processo de segurana - A segurana e auditoria em sistemas de informao uma responsabilidade de todos ns. Para isso, um profissional da rea tem a obrigao de ser responsvel pela existncia do processo de segurana e auditoria em sistemas de informao. Ausncia de uma gesto de risco - Quando no existe uma gesto de risco, as anlises de riscos e de ameaas so feitas aleatoriamente e normalmente apenas quando se tem um risco eminente. Toda organizao deve ter uma gesto de risco contnua. Ausncia de alinhamento entre segurana e negcio - A segurana deve considerar as prioridades do negcio da organizao. Mas as reas de negcio e a direo da organizao devem considerar a participao da segurana da informao em definies estratgicas.
Terceirizao de setores - Para que a segurana seja realmente implantada, os setores crticos, importantes da empresa no devem ser controlados por pessoas que no fazem parte de seus quadros de pessoal; Irregularidades em Ferramentas de Hardware e Software - metade das organizaes no possui mtodo ou processo para desenvolvimento de softwares e para aquisio de hardware, software e servios de informtica, o que gera riscos de irregularidades em contrataes; Definio de siglas dos problemas relacionados a empresa : P1 - Integridade da Informao P2 - Disponibilidade da Informao P3 - Autenticidade da Informao P4 - Confidencialidade da Informao P5 - Gesto do Processo de Segurana
P6 - Gesto de Risco. P7 - Alinhamento entre segurana e negcio P8 - Terceirizao de setores P9 - Irregularidades em Ferramentas de Hardware e Software P10 - Perda de Dados P11 - Acesso de pessoas no autorizadas em locais restritos da empresa P12 - Catstrofes
Alto Alto Mdio Baixo P2, P4, P5, P6, P7 P3, P8, P11, P10 P12
Mdio
Baixo
P1 P9
Tabela 2 - Matriz Probabilidade X Consequncia Conforme a tabela 2, podemos afirmar que as suas relaes de consequncia e probabilidades podero ocorrer em diversos nveis descritos abaixo : P2 , P4 , P5, P6, P7 foram classificados com alta probabilidade e alta consequncia. P3, P8, P11, P10 foram classificados com mdia probabilidade e alta consequncia. P1 foi classificado com mdia probabilidade e mdia consequncia. P12 foi classificado com baixa probabilidade e alta consequncia. P9 foi classificado com baixa probabilidade e mdia consequncia
4.3 Justificativa
A matriz probabilidade/consequncia auxiliou na classificao dos problemas e de como podemos construir um plano de segurana da informao para a empresa caso de estudo. Por ser uma empresa de desenvolvimento de softwares a tcnica foi a mais adequada para o contexto, pois os problemas com relao a segurana de informao um ponto crucial para empresa. Com esta tcnica os problemas ficaram com uma definio mais clara para a implantao do modelo, indicando quais problemas devem ser analisados e gerenciados com mais importncia e qual dever ser implantado primeiramente.
De acordo com a norma, a segurana da informao definida dentro do padro, no contexto de trs principais caractersticas que so : preservao da confidencialidade (garantir que a informao acessvel somente queles autorizados a ter acesso), a integridade (salvaguarda da exatido e integridade das informaes e mtodos de processamento) e disponibilidade (garantia de que os usurios autorizados tenham acesso a informaes e ativos associados quando necessrio). A norma ISO/IEC 27002 foi baseada na ISO/IEC 17799. Outra norma a ser utilizada concomitante com a norma ISO/IEC 27002 a norma internacional
IEC 61508:1998. A norma IEC 61508:1998 trata, de uma maneira mais genrica, as atividades do Ciclo de Vida de Segurana para Sistemas Eletrnicos, sendo de interessante aplicao, pois a XxxxxxxSoft Informtica desenvolve sistemas para conhecimento eletrnico, onde necessria e vital a segurana no seu processo de desenvolvimento. 5.2 Metodologia utilizada para Implantao da Segurana da Informao na empresa
importante salientar que a confeco de uma metodologia para implementao de um projeto de segurana da informao em um determinada empresa uma atividade bastante difcil, isto , de alta complexidade. O projeto a ser confeccionado precisa ter detalhes importantes da empresa, para que seja possvel mensurar suas informaes, tanto de baixo de nvel como de alto nvel. Os passos da metodologia elaborada especificamente para a Xxxxxx Soft Informatica so apresentados a seguir.
10
A4 - (Referente a P7) Conscientizao da alta direo da importncia da segurana da informao. A5 - (Referente a P8) Observar quais setores da empresa so terceirizados, e definir se o ideal. A6 - (Referente a P11) Definir nveis de acesso e aplicar mtodos para assegurar que sejam respeitados. A7 - (Referente a P12, P10) Definir um plano de contingncia. A8 - (Referente a P9) Definir um plano para aquisio de recursos, para que sejam observadas as caractersticas necessrias. A9 - (Referente a P1, P2, P3, P4, P10) Definir um plano de tratamento de informaes e medidas para a sua realizao. O plano deve garantir a integridade da informao, a disponibilidade da informao, a autenticidade da informao, a confidenciabilidade da informao e prticas para evitar a perda de dados.
Ms 1 A1 A2 A3 A4 A5 A6 A7 A8 A9
Ms 2
Ms 3
Ms 4
Ms 5
Ms 6
Ms 7
Ms 8
5.4 Responsveis
A boa aplicao do plano de segurana est intimamente ligada com a presena de bons profissionais na equipe para gerenciar e aplicar o plano de segurana da informao. Estas pessoas devem ser escolhidas de forma correta analisando o histrico da pessoa visando evitar problemas futuros, j que os profissionais da rea tero acesso a importantes informaes da empresa. Primeiramente necessrio se definir um gestor do processo de segurana que vai ser o responsvel direto por todos os processos e atividades a serem realizadas. A definio deste profissional como j dito anteriormente uma das prioridades no plano de segurana j que a presena deste responsvel ser essencial para a continuidade da aplicao do processo.
11
Durante a elaborao do plano houve uma discusso sobre qual a melhor opo para o cargo de Gestor do Processo de Segurana. As opes disponveis eram contratar uma pessoa de fora da empresa com experincia na rea, ou treinar um funcionrio da empresa para a funo. A contratao de um funcionrio especializado para a funo ter a vantagem de possuir na equipe um funcionrio com experincia na rea, porm elevaria os custos da empresa e talvez demoraria um pouco para o funcionrio conhecer a cultura da empresa. J o treinamento de um funcionrio da empresa possu a vantagem de ter uma pessoa com conhecimento das atividades da empresa alm do treinamento ser mais barato do que a opo anterior, porm possua a desvantagem de ter uma pessoa com pouca experincia na rea. Com essas informaes ficou decidido que a melhor opo destacar um funcionrio da empresa para essa funo. O processo de escolha desse funcionrio tem de ser feito de maneira criteriosa analisando o histrico na empresa, colhendo informaes em outras empresas que o funcionrio trabalhou, buscando informaes pessoais como certificados de Nada Consta. Depois de realizada a escolha o funcionrio passou por um perodo de treinamento para a funo, para isso ele foi deslocado a uma empresa especializada nessa rea, e aps o treinamento ele ser o responsvel pelo Plano de Segurana.
12
Como no foi fornecido pela empresa dados referentes ao faturamento, houve uma certa dificuldade para se estimar os custos para o plano de segurana. Desta forma foi realizada uma discusso dentro do grupo para se estimar o faturamento e os custos mensais da empresa, para assim chegar aos valores e se seria benfico para a empresa a implantao do plano de segurana. A partir de uma discusso do grupo ficou definido que ser investido em segurana cerca de 12.5% do faturamento da empresa. Os custos para a implantao deste plano esto divididos nas diversas atividades que sero realizadas para a concretizao do mesmo. Essas atividades so treinamento de um responsvel pelo processo de segurana requer horas de trabalho do profissional a ser treinado, materiais, cursos e tambm para a aquisio da norma a ser utilizada, e entre outros custos. Para a criao de um processo de gesto de riscos ser necessrio identificar, para cada risco identificado, uma estratgia de gerenciamento. Haver um custo permanente com a manuteno do processo de gesto de riscos.
6 Bibliografia
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ISO/IEC 17799 Tecnologia da Informao - Cdigo de prtica para a Gesto da Segurana da Informao. International Organization for Standardization, Switzerland, 2000. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ISO/IEC 27002 Tecnologia da Informao - Cdigo de prtica para a Gesto da Segurana da Informao. International Organization for Standardization, Switzerland, 2007. INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC 61508-n, Functional safety of eletrical/electronic/programmable electronic safety-related systems (1998). Commission Electrotechnique Internationale, 1998. BEAL, Adriana. Segurana da Informao: princpios e melhores prticas para a proteo dos ativos de informao nas organizaes So Paulo: Atlas, 2005. SMOLA, Marcos. Gesto da Segurana da Informao: uma viso executiva Rio de Janeiro: Campus, 2003. http://www.bndes.gov.br/SiteBNDES/bndes/bndes_pt/Navegacao_Suplementar/Perfil/porte.html http://www.qsp.org.br/ http://docmanagement.com.br/07/20/2012/symantec-divulga-pesquisa-sobre-custo-e-gestao-dainformacao
13