FACULDADE IBTA PÓS GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO

ALEXSANDRO SILVA VIEIRA HUGO IIDA JAIR RODRIGO ZEPEDA ARAYA RODRIGO CANDIDO KELLI CRISTINA RIBEIRO

TR AB ALHO DE CONCLUSÃ O DE CURSO: IMPLEMENTANDO SOLUÇÕ ES DE SEGURANÇ A D A INFO RM AÇÃO EM ESCRITÓRIOS DE AD VOC ACI A

São Paulo 2009

ALEXSANDRO SILVA VIEIRA HUGO IIDA JAIR RODRIGO ZEPEDA ARAYA RODRIGO CANDIDO KELLI CRISTINA RIBEIRO

IMPLEMENTANDO SOLUÇÕ ES DE SEGURANÇ A D A INFO RM AÇÃO EM ESCRITÓRIOS DE AD VOC ACI A

Trabalho

de

Conclusão

de

Curso

apresentado à Faculdade IBTA, como um dos requisitos para conclusão do Curso de Pós-Graduação Informação. em Segurança da

Orientador: Prof. Celso Leite

São Paulo 2009

ALEXSANDRO SILVA VIEIRA HUGO IIDA JAIR RODRIGO ZEPEDA ARAYA RODRIGO CANDIDO KELLI CRISTINA RIBEIRO IMPLEMENTANDO SOLUÇÕ ES DE SEGURANÇ A D A INFO RM AÇÃO EM ESCRITÓRIOS DE ADVOC ACI A

Trabalho

de

Conclusão

de

Curso

apresentado à Faculdade IBTA, como um dos requisitos para conclusão do Curso de Pós-Graduação Informação. em Segurança da

Orientador: Prof. Celso Leite

Aprovada em de 2009

BANCA EXAMINADORA
Prof. Ms. ou Dr. Orientador

Prof.(ª) Ms. ou Dr. Componente da Banca

Prof.(ª) Ms. ou Dr. Componente da Banca

RESUMO

Este trabalho acadêmico visa apresentar a implementação de um Programa de Segurança da Informação para um escritório de advocacia fictício, descrevendo seu modo operante, suas rotinas de trabalho e suas deficiências de segurança. Diante deste contexto, são identificadas falhas que justificam a atuação do “Security Officer” que, a partir de sua contratação, elabora um “baseline” contendo as informações do estado inicial das instalações, processos e sistemas encontrados e, a partir deste ponto, elabora documentos e estratégias descrevendo as melhorias, visando assegurar os requisitos básicos de segurança da informação – a sua confidencialidade, integridade e disponibilidade – assim como adequa a organização aos requisitos da norma NBR ISO/IEC 17999, melhores práticas para a segurança da informação, em acordo com a NBR ISO/IEC 27005, que estabelece princípios e diretrizes para implantar e melhorar continuamente um Sistema de Gestão de Segurança da Informação por meio de controles internos buscando proteger os ativos das ameaças e vunerabilidades, também em acordo ao padrão PCI DSS.

Palavras chave: Baseline, Security Officer, Plano de continuidade de negócio, Análise de risco, Vulnerabilidades, Ameaças, CIDxGUT, Criptografia.

ABSTRACT

This academic conclusion work aim to present the implementation of a security program to a fictitious advocacy company, describing its operating way, working routines and security deficiencies. In this context, it will be identify the failures that will justify the function of "Security Officer" that as of his recruitment, he elaborates a "baseline" containing the initial states of the facilities, procedures and systems found and starting from this point he elaborates documents and strategies describing the improvements propose, aiming at to assure the information security basic requirements - the confidentiality, integrity and availability - as well as adapting the organization to the Standards NBR ISO/IEC 17999, best practice of the Information Security, according to the NBR ISO/IEC 27005, that establish values and guidelines to implant and improve continuously a information security management by means of internal controls looking for to protect the assets against the threat and vunerability, as well according to the Standard PCI DSS.

Key words: Baseline, Security Officer, Contingency Plan, Risk Analysis, Vulnerabilities, Threats, CIDxGUT, Cryptography.

................................... 128 FIGURA 14 ............................................................................................................................................................NÍVEL DE RISCO FINAL (QUALITATIVO) ... 42 FIGURA 7 ..............RISCO TOTAL POR ATIVO ......................................................................................................PLANTA DE ZONEAMENTO................................NÍVEL DE RISCO FINAL (QUANTITATIVO).......................................................................................................................................................... 283 FIGURA 19 . 25 FIGURA 2 ...................................................................... 43 FIGURA 8 ......... 293 FIGURA 22 ..ATIVOS RELEVANTES DA EMPRESA ..................................... 231 FIGURA 17 ..............................INDICE DE ILUSTRAÇÕES FIGURA 1 .....................................RISCOS ENCONTRADOS .........................................................RELAÇÃO DOS TIMES DE CONTINGÊNCIA E CRISE ............... 34 FIGURA 4 ............................................................................................................CAMADA DE SISTEMA...................................... 32 FIGURA 3 ..............................................................ORGANOGRAMA FUNCIONAL ..........................................................................................PLANTA DO 13º ANDAR .............................................................. 40 FIGURA 5 ...AMEAÇAS ENCONTRADAS ..........................................................................PROCEDIMENTO PARA ACIONAMENTO DOS TIMES DE CONTINGÊNCIA ........................................................................................................ 129 FIGURA 15 .................................................................................................................................. 125 FIGURA 12 ................................................. 285 FIGURA 21 ..................................................................................................... 293 ....................... 94 FIGURA 11 .................................................................................PLANTA DO 14º ANDAR ............................................................................................. 232 FIGURA 18 ..............................................................................................PLANTA DO 15º ANDAR ................................DIAGRAMA MACRO DE REDE ... 228 FIGURA 16 .....................................RELEVÂNCIA DOS ATIVOS....................................................................................................... 127 FIGURA 13 .....................................................................................................................................SISTEMA DE GESTÃO DE RISCOS .CONTROLES NÃO IMPLEMENTADOS ................................. 41 FIGURA 6 ..........................................................................PLANTA DA FACHADA ............................................................FLUXO DE TRABALHO PRINCIPAL ........................... 45 FIGURA 10 ...................... 44 FIGURA 9 ...........................COMPARATIVO FINAL DE RISCOS...........................................................PDCA ............................................................................ 284 FIGURA 20 ..........................................

...........................................AMEAÇAS .........................................................................IDENTIFICAÇÃO DE VULNERABILIDADES RESPONDIDA .............. 129 TABELA 14 .............................................................................. 86 TABELA 6 ....LISTA DOS ATIVOS DO AMBIENTE ............................IDENTIFICAÇÃO DOS PROCESSOS DE NEGÓCIO II ..................................................................... 226 TABELA 26 ......... 108 TABELA 10 ............................................LEVANTAMENTO DOS RISCOS ...........................COMPARATIVO FINAL DE RISCOS ...... 282 TABELA 31 ....................................................................................................................................................................................... 223 TABELA 25 ..................................................................................NOME E TELEFONES DO TIME DE GESTORES .................... 54 TABELA 3 ............................................................................................................................................................................................................................................................. 264 TABELA 29 ................................................................. 217 TABELA 19 .................................................. 281 TABELA 30 ....COMPONENTES DA INFRA-ESTRUTURA DO NEGÓCIO..............TABELA DE RISCO TOTAL POR ATIVO ....................INDICE DE TABELAS TABELA 1 .................................................................... 219 TABELA 22 .......IDENTIFICAÇÃO DOS PROCESSOS DE NEGÓCIO IV ................................................... 216 TABELA 16 ........................................ 216 TABELA 17 ................ABAIXO ESCALA PARA CLASSIFICAÇÃO DE PRIORIDADE NO NEGÓCIO .....................................ANALISE DE RISCOS FINAL ...................................................... 126 TABELA 12 ............................CRITÉRIO PARA CLASSIFICAÇÃO DAS AMEAÇAS ......................................... 72 TABELA 5 ...................................................................................................................................CONTROLE POR NÍVEIS DE RISCOS FINAL ...................................................................................RISCOS E MEDIDAS DE CORREÇÃO ............................................................................................................ 93 TABELA 9 ......................................................................... 218 TABELA 20 ............ 220 TABELA 23 ..........RELEVÂNCIA DOS ATIVOS ................... 222 TABELA 24 .....................CRITÉRIO PARA RELEVÂNCIA DOS ATIVOS.......... 286 .............AMEAÇAS .................................................................................................... 218 TABELA 21 ...................... 92 TABELA 8 ...............................................................................................................................PROCESSOS DEPENDENTES ......................................................................RISCO TOTAL DE CADA ATIVO ..ATIVOS .IDENTIFICAÇÃO DE VULNERABILIDADES ................................................................................................. 88 TABELA 7 ...BIA .....................CLASSIFICAÇÃO DE RISCOS E IMPACTOS ...................................................................................................TABELA DE ANALISE DE RISCOS FINAL ................................................................................................................................................................................... 55 TABELA 4 ....................................................................................................... 125 TABELA 11 ............................................................................... 233 TABELA 28 ......... 152 TABELA 15 .................................................................................................................IDENTIFICAÇÃO DOS PROCESSOS DE NEGÓCIO III .................................. 127 TABELA 13 .................................RESPONSABILIDADES DA EQUIPE.............................................................................CONTROLES POR NÍVEIS DE RISCOS........................................................................ 217 TABELA 18 ................................ 52 TABELA 2 .......................................ESCALA PARA CLASSIFICAÇÃO DE PRIORIDADES NOS PROCESSOS DE NEGÓCIO...CONTROLES ..................................IDENTIFICAÇÃO DOS PROCESSOS DE NEGÓCIO I ................................................................................................................ 230 TABELA 27 ...................................................

............................................................................................. 27 Mercado ...............................................................................................................................................................................................................................................................21 A ESTRUTURA ........... 38 Active Directory . 30 Eventos .................................................... 34 Tedesco ..................................................................................................................................................................................................................................................21 1.............................................................................................................................. 28 ADMINISTRATIVO .....................20 CAPÍTULO I............................................................................................. 35 Organizer ........................................................................................................................................................................................ 31 FLUXOGRAMA DAS INFORMAÇÕES ............................................................................................................. 28 RH/DP........................................................................................................................................................................................................................................................................................................................................................................................................................................................... ENTENDIMENTO DO NEGÓCIO.................................................................................................................................................................................... 37 Citrix MetaFrame ........................................... 48 ................................................................................. 36 Exchange ..................................................................................................................................................................... APRESENTAÇÃO DA EMPRESA ...................................................................... 46 CONCEITOS FUNDAMENTAIS .................................................................................................................24 FUNCIONAMENTO DA EMPRESA ............................................................................................................................................................... METODOLOGIA DE ANÁLISE DE RISCOS .................................................. 25 JURÍDICO .......................................................................................................................................................................................................................46 ANÁLISE DE RISCO ............................................................. 32 MACRO-VISÃO DA INFRAESTRUTURA LÓGICA ...... 41 CAPÍTULO III........................................... 47 CRITÉRIO PARA DEFINIÇÃO DO CONTEXTO DA ANÁLISE .............................................................................................................. 38 Website/intranet ............................................................................................................................................................................................................ 41 PLANTAS ................................ 26 Trabalhista ........................................................................................................................................................ 29 Documentos ...........................................................................15 JUSTIFICATIVA ....................................... 23 CAPÍTULO II...................................................................................................................................................................................................................................................................................................................................... 40 REDES .................................................................................................................................................................................................................................................................................................................................................................................................................. 29 Tecnologia da Informação (TI) ................................................................................... 46 Introdução a gestão de riscos e análise de riscos ...... 36 Elite Enterprise ERP ................................... 39 TOPOLOGIA ...................... 26 Família ......................................... 40 DESCRITIVO E PLANTAS ............................ 21 CONTEXTUALIZAÇÃO E CONTRATAÇÃO DO SECURITY OFFICER........................................................................................................................................18 CONSIDERAÇÕES GERAIS ................................................24 2..........SUMÁRIO INTRODUÇÃO ........................................................................................................................................................................................................................................................ 25 Tributário .....................................................................................................................................................................................................................16 OBJETIVO ....................ORGANOGRAMA ............................................................................ 34 Camada de sistemas ............................................................................................................................................................................................................................................................................................................................................................................. 30 Financeiro.............................................................46 3.............................................................................................................................17 METODOLOGIA E ATIVIDADES ........................................................46 ANÁLISE DE RISCOS ...................................................................................................................................................................................................

...................................................................................................................... 169 Confidencialidade.....................CRITÉRIOS PARA ESCOLHA DE ATIVOS RELACIONADOS AO CONTEXTO................................................................................................................................................................................................................................................................................................................................................................................................................................................................ 159 Servidor de impressão ........................................................................................................................................................................ 88 CAPITULO IV .................................. 166 Prédio ......................................................... 109 CONTROLES POR NÍVEL DE RISCO ........................................................................................................................................................... 87 CRITÉRIOS PARA APRESENTAÇÃO DE RESULTADO .............................. 170 Integridade ................. 168 CAPITULO V ............................. 170 ............................................... 55 CRITÉRIOS PARA PONTUAÇÃO DE RISCOS ............................................ 168 Salas de servidores ............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................... 166 Elevadores ............................................................................................................................................................................ 48 FORMULÁRIO PARA DE RH/DP: ....................................................................................................................................................................................................................... 90 FORMULÁRIO PARA ÁREA DE SEGURANÇA: ..................................... 164 Roteador ................................................. 55 CRITÉRIOS PARA IDENTIFICAÇÃO DE VULNERABILIDADES ......89 FORMULÁRIO PARA ÁREA O RH/DP: ........................................................................................................................................................................................................................................................................................................... 161 Servidor ERP ..........................................................................169 5.................................................................. 157 Servidor de Arquivos ....................................................................................................................................... 165 PROJETOS IMEDIATOS – ARQUITETURA FÍSICA ......................................................................................................................... 127 CONTROLES A SEREM IMPLEMENTADOS ......................................... 167 Ar-condicionado ..................................................................................................................................... 162 Estações ............................................................................................ 131 PROJETOS IMEDIATOS – ARQUITETURA LÓGICA .......................................... 170 Vírus .................................................................................. 72 CRITÉRIOS PARA CLASSIFICAÇÃO DE RISCOS E IMPACTOS .............. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ............................................................................................................................................................................................... 170 Interoperabilidade .................. 169 Disponibilidade.......................................................................... 170 Ponto de acesso ......................................................................... 169 Autenticidade ........ 160 Servidor de banco de dados ........................................................................................................................................................................................................................................................................................................................................................................................ 51 CRITÉRIOS PARA DEFINIÇÃO DA RELEVÂNCIA DOS ATIVOS ............................................. 95 PONTUAÇÃO DE RISCO....................................................................................................................................................................................................................169 GLOSSÁRIO ....... 50 FORMULÁRIO PARA ÁREA DE SEGURANÇA: .......................................................................................................................................................................................................................................................................................................................... 170 NBR ISO/IEC 17799....................................................................................................................... 159 Servidor DNS ............................................................................... 160 Servidor Web ............. 167 Salas de reunião ............................... 163 Switches ......................................................................................................................................................................... 163 Notebooks .................................................................................... 170 Legalidade ............... 165 Firewall................................................................................ 169 Informação classificada .................................................................... 49 FORMULÁRIO PARA ÁREA DE TI: ....................................................................................................................... 53 CRITÉRIOS PARA CLASSIFICAÇÃO DAS AMEAÇAS ................................................................................................................ EXECUÇÃO DA ANÁLISE DE RISCOS ................................................................................................. 158 Servidor de serviço de diretório ................................................................................................. 52 CRITÉRIOS PARA DEFINIÇÃO DAS AMEAÇAS .................................................................................................................................... 169 Código Malicioso ....................................................................................................................................................... 153 Servidor de E-mail ................................................................................................................................................................................................... 89 FORMULÁRIO PARA ÁREA DE TI: ..........................................................................................................................................................................................................................................................................................................................................................................................................................89 4........................ 91 QUESTIONÁRIO RESPONDIDO ...........................................

.............................................................................................................................................................................................. 177 Software ............................................................... 182 Esterilização e descarte de mídias ..................... 194 NORMA PARA USO DE INTERNET............................................................................................................................................................................................... 173 NORMAS GERAIS PARA USUÁRIOS........................ 201 ........................................................................................................................................................................................................................................................................................................................ 201 Direito de acesso à pasta pública temática ............................................ 195 Abrangência .......................................................................................................................................................................................................................... 200 Direito de acesso à pasta pública da Candido..................................................................................................................................................... 178 APLICAÇÕES CORPORATIVAS....... 197 Abrangência ...................................................................................................................................................................................... 183 Local de estoque e armazenamento de mídias de dados ...................................................................................................................................................................................................................................................................... 171 OBJETIVO ...................................................... 177 Antivírus ............................................................................................................. 200 Quantidade de caixas postais por usuário ..... Notebooks e Servidores............................................................................................................................................................................................................................................................................... 184 Utilização da Rede ........................................................................................................................................................................................................................................................................................................................................................................................................... 196 Monitoramento .......................................................................................................................................... 174 Segurança da Informação pelos Colaboradores . 177 Contas e Senhas ............. 181 Abrangência .................................................................................... 179 Correio Eletrônico....................... 176 Proteção das Estações de Trabalho e Computadores Móveis ......................... 184 Manutenção dos Recursos de Tecnologia da Informação .................................................. 181 Configurações de Desktops....................................................................................................................................................................................................................... 187 Servidores .................................................................................................................. 198 Responsabilidades dos Usuários ........ 199 Tamanho de pastas públicas............................................................................................. 199 Tamanho Máximo de Mensagens Enviadas e Recebidas .................................................................................................. Carvalho e Vieira Associados ......................................................................................................................................................................................................................................................... 179 Utilização da Rede ........................................................................................................................................ 195 Objetivos ............................................................. 198 Uso do Espaço Disponível........................................... 180 NORMAS GERAIS PARA TÉCNICOS ........................................................................................................................................................................................................................................................................................................ 195 Normas............................................................... 199 Tempo de Vida das mensagens e documentos ................................................................. 189 Controle de acesso lógico (baseado em senhas) ......................................... 197 NORMA PARA USO DE CORREIO ELETRÔNICO .................................................................................................................................... 186 NORMAS PARA SEGURANÇA LÓGICA . 198 Responsabilidades dos Usuários Administradores do Correio . 174 Objetivos ............................................................................................................................................................................................................................................................................................................................................. 172 DIRETRIZES CORPORATIVAS............. 201 Ausência temporária ..................................................................................................... 181 Objetivos .............................................................................................. 188 Redes .............................................................................. 200 Tempo de vida de mensagens e documentos na pasta “Itens Excluídos” ............. 187 Sistemas .............................................................................................................................. 200 Tempo de vida de documentos em pastas públicas ............................. 175 Segurança física ................................... 197 Objetivos ... 185 Segurança Física.............INTRODUÇÃO ........................................................................................................................................................................................................................... 186 Abrangência ................................................................................................................................................................................................................................................................................ 200 Direito de acesso à pasta pública do próprio departamento ........................ 183 Tempo de armazenamento e vida útil de dispositivo de armazenamento de dados .............................................................................................................................................. 174 Segurança Organizacional .................. 182 Requisitos de criptografia e certificado digital ........................................................................................................................................................................................................................................................................................... 179 Internet ..................................................................................................... 192 Estações de Trabalho ................................................................ 186 Objetivos ........................................................................................................................................................................................................................................................................................ 172 ABRANGÊNCIA ...............................................

... 234 Aplicabilidade do plano ....................................................................................... 225 Nome e telefones do time de Gestores ..................... 234 Objetivo .................................................................................................... 224 Equipe de gestão de crises ............................................................................................... 202 Listas departamentais.......................................................................................................................................................................................................................... 203 SANÇÕES ..................................................................... ........................................................................................................................................................................................................ 232 Ambientes e gestores ......................................................214 DEFINIÇÃO DE PCN........................... 203 CLASSIFICAÇÃO DAS VIOLAÇÕES ......................................................................................................... 206 Termo de Responsabilidade e Sigilo ..........................................228 Externo .............................. 205 DOCUMENTAÇÃO DE SUPORTE .................................................. 206 Campanha de Divulgação .............................................................................. 264 OS GRÁFICOS FINAIS ......................................................... 227 Procedimentos para Comunicação da Contingência ............................................................. 223 Ambientes ............ 216 ESTUDO DE CRITICIDADE ............................................................................................................................................................................................................................. 282 CAPITULO VIII ..................................................................................................................................... 232 RECURSOS E PROCEDIMENTOS ......................................................................................................................................................................................................................................................................................................................................................................................................................................................287 ...... 237 ROTEIRO DO PLANO.......................................................................................................................................................................................................................................... 237 Acionamento da contingência ................................................................................................................ 204 ESTRATÉGIA DE IMPLEMENTAÇÃO DA P.................................245 CÁLCULO DE RISCO ............................................................................................................................................................ 230 Relação dos times de contingência e crises ................................................................................... ANÁLISE DE RISCO FINAL ...................................................................................................................... 234 PLANO DE CONTINUIDADE OPERACIONAL ..................................................................... 223 DESENVOLVIMENTO DOS PLANOS NO PCN .............. 210 CAPITULO VI ............................................................................................ 208 Outras Campanhas ........................................................ 202 Pastas públicas departamentais ..................................................................................................................................................................................................................................................................................................................... 234 Roteadores e links de comunicação ............................................................................................................................................................................. 202 Pastas públicas temáticas . 220 CENÁRIOS PARA RECUPERAÇÃO E RESTAURAÇÃO ............................................................................................................................................. 209 Programas de Treinamentos .................................................................................................................................. 228 Interno.................................................................................................................................................... 239 PLANO DE RETORNO À NORMALIDADE ............................................................................................ 202 Conteúdo Proibido ............... 242 TESTES DE DESEMPENHO ......................................................................... 202 Funcionários exonerados.......................... 202 Pastas públicas de grupo de trabalho ........................................................... 214 MAPEAMENTO DOS PROCESSOS.......................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................I......................................................................................................................................................................................................................... 226 Procedimento para acionamento dos times de contingência ................ 219 ANÁLISE DE IMPACTO NO NEGÓCIO (BIA) ............................................................................ 224 PLANO DE ADMINISTRAÇÃO DE CRISE ................................................................................................................................................................................................................................229 Relação dos ambientes contemplados no plano ............................................................................................................................................................ 237 PLANO DE RECUPERAÇÃO DE DESASTRE .............. 244 CAPITULO VII ..................................................................................................................... 243 RELATÓRIO DOS RESULTADOS ................................................................... 243 MANUTENÇÃO DO PLANO ........................................................................................................................... aposentados .................................................................................................. 241 PLANO DE TESTES E VALIDAÇÃO DO PCN .................................................. temáticas e de grupo de trabalho ..................................................................................................................... PLANO DE CONTINUIDADE DE NEGÓCIOS .................................................................................................................................................................................................................Criação de caixas postais para terceiros .....................................245 7................................... 242 TESTES DE FUNCIONALIDADE .........................214 6................................................................................................................... 205 Carta do Presidente.............................................................S...............................................................................

............................................................................................................................... 289 Responsabilidades ......................................................................................298 ...287 DEFINIÇÃO DE UM MODELO ............................... MODELO DE GESTÃO ...................................................... 290 CAPITULO IX.................................................................................................................................................................................................................................................... PLANEJAMENTO CORPORATIVO ......................................................................................................291 10........................................................................................................................................................................................................................................................................ 288 DEFINIÇÃO DE PROCESSOS ..................................................................................................................................9..................................... 289 Metodologia e Normas de apoio ........... 288 Definição de Funções .............291 REFERÊNCIAS BIBLIOGRÁFICAS .....................................................................................................................................................295 GLOSSÁRIO ............................

estruturando a área de segurança. com as forças e fraquezas em relação à organização. mais complexa as necessidades tecnológicas e operacionais para se tratar estas questões e ainda maior os números atribuídos aos orçamentos de segurança das organizações.15 INTRODUÇÃO Após a incidência de algum impacto negativo. a cada ano. torna-se maior a atenção da alta administração e de seus gestores sobre as questões de segurança. considerando inclusive as operações do negócio Outro fato é que. que nestes últimos anos o foco das organizações tem sido substancialmente orientado ao estabelecimento da segurança na infraestrutura tecnológica e nas plataformas operacionais dos sistemas. definindo e se orientando por uma política de segurança. . o tema se mostra extremamente relevante e de grande importância aos escritórios de advocacia. integrada e corporativa. com suas oportunidades e ameaças. Tanto é fato. Houve aquelas que avançaram ainda mais. em que o avanço do uso da tecnologia. a proliferação dos negócios e serviços on-line. estabelecendo o modelo de gestão e as atribuições e necessidades de recursos. e o ambiente interno. ferramentas e procedimentos. as empresas passam a considerar o ambiente externo. o encaminhamento do tema também ocorreu sem a orientação de um instrumento de gestão adequado. Dessa forma. a mobilidade tecnológica e seus riscos tiveram impacto nos diversos níveis organizacionais e operacionais de forma desordenada. O tema segurança tem ganhado a atenção de organizações dentro de um processo gradual de amadurecimento. Enfim. além do interesse pessoal dos pesquisadores. que tivesse sido estabelecido por meio de uma visão ampla. Algumas organizações conseguiram ir um pouco além.

Sem dúvida alguma. principalmente no que diz respeito a segurança destas informações. Contudo. poucos são os que se preocupam com a fragilidade das informações e menor ainda o número das pessoas que não conseguem dimensionar o estrago de um vazamento de uma informação. tribunais de justiça e divesas cortes no país aumenta o apelo de recursos da informática jurídica em seus processos. como agilidade nos processos. confiabilidade das informações e outros. não é difícil perceber os benefícios de novas tecnologias em nosso segmento. Com a busca pela modernização do judiciário. o ônus de ter estes benefícios muitas vezes estão ocultos. . Porém. a evolução das tecnologias trazem consigo preocupações com a relação a maneira com que as informações são dispostas e tratadas pelos sistemas responsáveis por esta evolução. No entanto. isto nos motivou na escolha deste tema. desempenho na prestação do serviço jurídico.16 JUSTIFICATIVA A escolha do ramo de atividade relacionado ao tema em questão deu-se pela importância da Segurança da Informação no segmento de advocacia.

Todos os personagens e empresas aqui citados são meramente ilustrativos.17 OBJETIVO A presente pesquisa se configura como Trabalho de Conclusão de Curso da Faculdade IBTA e apresenta suas justificativas para a escolha do tema. Hugo Iida. em seguida. os resultados efetivos e o fechamento do trabalho com as respectivas conclusões. a contratação do profissional para remediar a situação e todas as suas providências relacionadas ao cenário previamente descrito e. Partindo da escolha de uma empresa fictícia Candido. Em ordem cronológica. qualquer semelhança com a realidade será mera coincidência. a pesquisa foi realizada pelos alunos Alexsandro Silva Vieira. com a intenção de simular um cenário de ausência de segurança em vários aspectos. Com a finalidade de contribuir para a produção científica e atingir certo grau de aprofundamento acadêmico. onde ocorre o incidente de segurança. Carvalho e Vieira Associados. criamos cenários. Jair Rodrigo Zepeda Araya. . Rodrigo Candido e Kelli Cristina Ribeiro do curso de Segurança da Informação. os quais poderíamos atuar diretamente sugerindo e elaborando boas práticas e aplicações de soluções customizadas. departamentos e estruturas subjetivas. descreveremos ao longo deste trabalho de conclusão de curso a situação da referida empresa num primeiro momento. bem como a sua delimitação.

Através de um documento eletrônico. Jair. Rodrigo e Kelli. Alexsandro. Com este facilitador. Após a formação do grupo. este conteúdo era submetido a apreciação e possíveis alterações sugeridas pelo orientador. em seguida escolhemos o tema do projeto por afinidades de cada componente e já definida a data do dia 06 de dezembro de 2007 para a primeira reunião. Em discussão nas aulas de Metodologia Cientifica. mais especificamente em setembro de 2007. Na medida em que as atividades eram concluídas. As tarefas foram divididas conforme reuniões previstas pelo orientador.18 METODOLOGIA E ATIVIDADES As atividades de desenvolvimento deste trabalho de conclusão de curso tiveram início no primeiro semestre do curso de Segurança da Informação. . viu-se a necessidade de ter um líder para o grupo. a atividade executada foi o desenvolvimento de uma descrição primária da empresa na qual seria baseada a proposta de Segurança da Informação contida neste trabalho. Após todo o desenvolvimento desta descrição começaram a ser desenvolvidos os primeiros tópicos referentes à Segurança da Informação. responsável por conduzir as reuniões e trabalhos do grupo. onde teria como pauta o desenvolvimento do tema. Nesta primeira reunião. o grupo foi formado por 5 componentes. escopo e cenário escolhidos. Hugo. sendo eles. Nestas reuniões de orientação com datas pré-agendas foram traçados os caminhos para o desenvolvimento das atividades. Inicialmente. a gestão do projeto deu-se através de encontros próximos às reuniões de orientação com a participação de todos os componentes do projeto. O projeto foi sendo conduzido de forma a atender as requisições do documento de orientação e correções indicadas nas reuniões de orientação. o orientador traçou um cronograma a ser seguido.

Com as informações colhidas e organizadas conforme assunto. .19 O projeto tomou forma com a conclusão de cada atividade e busca das informações. A pesquisa para obtenção das informações foi realizada com entrevistas informais de profissionais escolhidos do segmento de advocacia e submetendo os dados levantados ao escopo do projeto. a disposição delas no projeto deu-se conforme instrução do orientador.

servindo de exemplo para empresas de advocacia em quaisquer de seus ramos de atividades. . iniciou as atividades para a contratação de um Security Officer. Assim como para os gestores de escritórios de advocacia. Para a área acadêmica os benefícios foram: apresentar um estudo de caso diferente dos que já foram expostos e por em prática todos os assuntos abordados em sala de aula. Já para a comunidade da segurança da informação. as recomendações e procedimentos descritos no decorrer deste projeto podem originar benefícios e melhorias. o desenvolvimento do trabalho foi benéfico pois trouxe o levantamento de um caso onde o descuido na hora de imprimir um documento unido ao esquecimento do usuário em buscá-lo na impressora causou um vazamento de informação e por conta disto.20 CONSIDERAÇÕES GERAIS Com o desenvolvimento deste trabalho foi possível para os membros do grupo entender e conhecer os passos necessários para o desenvolvimento de uma estratégia de segurança em uma empresa que não possuía uma área especifica de segurança.

Faturamentos e outros dados importantes para a fundamentação dos trabalhos do Security Officer. Seus profissionais. O posicionamento orientado para resultados tem levado a assumir o planejamento e a representação legal de algumas das mais importantes instituições e grupos privados em atividade no País. Candido. Carvalho e Vieira Associados consolidouse no campo do Direito Privado e Direito Público (com ênfase na área empresarial) como sinônimo de auto-conceito. Quantidade de Funcionários. bem como o negócio no qual ela está engajada. A confiança depositada na qualidade de serviços tem sido retribuída com a busca permanente de soluções jurídicas inovadoras para o enfrentamento dos desafios impostos pela dinâmica da atividade empresarial. 1.21 CAPÍTULO I O capítulo em epígrafe diz respeito a apresentação da empresa como um todo. dedicação e probidade. Nele serão encontradas informações como Fundação. criteriosos e experientes. APRESENTAÇÃO DA EMPRESA Uma equipe de sócios e advogados. eficiência. estão aptos a apresentar soluções e . com experiência no Brasil e no exterior. Histórico da Empresa. A ESTRUTURA Fundada por um grupo de profissionais de reconhecida formação jurídica e capacidade profissional. coloca integralmente a serviço de clientes o conhecimento técnico e da legislação. extremamente qualificados. altamente especializados.

O escritório conta com mais de 90 profissionais distribuídos em pontos estratégicos do país. Com sede em São Paulo e correspondentes em outros estados. Contencioso Civil e Comercial. Hoje. Mercado de Capitais. o Escritório conta com aproximadamente 190 funcionários. e apresenta um faturamento anual na ordem de R$ 90 milhões. Privatizações e Societário. Com pesados investimentos em treinamentos. Terceiro Setor. infraestrutura e contratação de profissionais qualificados. . Família e Sucessões.22 prestar acessória altamente especializada. Mais do que orientação adequada às complexas solicitações da sociedade moderna. Econômico. tradição e a certeza de encontrar as melhores respostas em todas as áreas de atuação. Desde sua fundação é registrado um expressivo crescimento no mercado brasileiro da advocacia empresarial. o escritório oferece credibilidade. Imobiliário. na qual o escritório está posicionado entre os melhores deste seguimento. Telecomunicações. registrados na Consolidação das Leis Trabalhistas (CLT). podem garantir um qualificado atendimento em suas demandas. A distribuição dos profissionais está atrelada às áreas estratégicas para o atendimento corporativo com grande preocupação para a especialização e atualização de conhecimentos dos seus funcionários. Trabalhista e Tributário. Energia. Cultura e Responsabilidade Social. a expansão das atividades surge inevitavelmente. O escritório atua nas seguintes áreas: Ambiental.

e nenhum dos funcionários pôde ser responsabilizado diretamente. utilizou para benefício próprio perante o juiz.600. um Security Officer foi contratado para trabalhar ao lado do diretor administrativo. Uma auditoria interna não conseguiu rastrear o(s) responsável(is) pelo vazamento de informação. Por tratar-se da maior conta do escritório. o que acabou resultando em prejuízo de R$ 3. independentemente de estarem envolvidos no mesmo ou não. devido a repercussão na mídia. e principalmente. elaborar uma solução de criptografia e segurança consistente dos documentos processuais. pois o concorrente de posse desta informação. que seus processos estariam seguros. o corpo de sócios acionistas tomou a decisão de investir em segurança da informação devido ao fato de seus concorrentes já terem investido e também pela ameaça do cliente em abandonar o escritório caso não tivesse evidências.000. que cobriu toda a história do vazamento de informação.23 CONTEXTUALIZAÇÃO E CONTRATAÇÃO DO SECURITY OFFICER Com o seu corpo de advogados divididos em setores. . Neste contexto. mas com acesso total à documentação processual. com a missão de organizar processos do escritório. abaixo apenas da presidência. em um curto prazo. a imagem de ambas as empresas sofreu impacto negativo. em outubro de 2007 a Advocacia Candido.00 para o mesmo. Carvalho e Vieira Associados detectou um vazamento de informação de um caso do seu maior cliente. A contratação do Security Officer ocorreu em meados de outubro de 2007 e sua posição no organograma se deu logo em princípio ao lado da diretoria. e associado ao fato de que os documentos estavam disponíveis em formato de papel em arquivo convencional e sem qualquer restrição de cópia. Aliado a isso. restringir acessos indevidos. proporcionando-lhe a vitória nesta causa. evidenciar os quesitos de segurança exigidos pelo cliente no prazo requerido.

ENTENDIMENTO DO NEGÓCIO Com formação nas principais universidades do país e com cursos de especialização fora do país.24 CAPÍTULO II O capitulo em epígrafe foi escrito pelo Security Office na fase inicial do projeto afim de expor a situação encontrada na empresa e para melhor compreensão do projeto. . seus advogados produzem resultados e oportunidades reais para os clientes. Os profissionais estão distribuídos em áreas de especialização que cobrem todas as disciplinas estratégicas para um bom atendimento. 2.

sócios e os demais tomam individualmente ações sobre os casos em que estão envolvidos. sem prestar contas aos demais. os advogados sócio-acionistas.25 FUNCIONAMENTO DA EMPRESA . Nivelados hierarquicamente.Organograma Funcional JURÍDICO O setor jurídico é basicamente composto por advogados e consultores jurídicos.ORGANOGRAMA Figura 1 . que são responsáveis pelo “core business” do grupo e diretamente ligados ao atendimento dos clientes da empresa. .

Orientação sobre repercussões fiscais em processo de reorganização societária. estaduais. Tributário Presta orientação e assessoria em todas as fases e procedimentos fiscais. inclusive em processos de reorganização societária. quanto judicialmente). Defesas e recursos em processos administrativos federais. estando capacitado a prestar.26 Todavia. Elaboração de consultas e pareceres. municipais e previdenciários. os seguintes serviços aos nossos clientes:     Elaboração de consultas e pareceres. Trabalhista O setor atua intensamente na área tributária. Análise preventiva de procedimentos fiscais. Planejamentos tributários. nas esferas consultiva. Elaboração de manuais de procedimentos jurídico-tributários. sobre modificações na legislação tributária. inclusive na orientação de sucessão empresarial. há a possibilidade de consultoria ou mesmo de trabalho em conjunto com um ou mais advogados do grupo. preventiva e contenciosa (tanto administrativa. . tanto nas esferas federal e estadual como na municipal:        Análise preventiva de procedimentos fiscais. Questionamento judicial de tributos considerados ilegais. dentre outros. e os processos podem ser auditados pelas hierarquias mais altas visando medir e avaliar a qualidade do atendimento ou mesmo garantir que os atendimentos sejam padronizados ou com tratamento similar para todos os clientes. Elaboração e implementação de planejamentos tributários. Preparação e apresentação de seminários e eventos.

Elaboração de boletins informativos sobre alterações legislativas e decisões relevantes do judiciário. Acompanhamento dos chamados "leading cases". visando identificar créditos tributários não aproveitados. nas esferas municipal. perante tribunais superiores. Realização de auditorias fiscais. . Questionamento judicial de tributos considerados indevidos. Divórcios. Preparação de defesas e recursos em processos administrativos. Inventários e arrolamentos. Interdições e tutelas. estadual. federal e previdenciária. incluindo o treinamento do corpo técnico dos clientes. bem como eventuais contingências. Adoções. Família Orientação e assessoria para os procedimentos legais decorrentes de relacionamentos pessoais e familiares:         Orientação sobre planejamento sucessório.27       Elaboração de rotinas fiscais. dos principais questionamentos judiciais. Testamentos. Separações judiciais não contenciosas. Alvarás.

nos mercados de capitais. . Atuação do residente nos mercados internacionais.28 Mercado Assessoria e consultoria em transações realizadas no país e no exterior. Consultoria relacionada à regulamentação de mercado de capitais. abrangendo assessoria nas seguintes atividades:  Distribuição internacional. O setor administrativo realiza todo o “back-office” necessário em uma empresa convencional e apoia o “core-business”. de valores mobiliários nos mercados local e ADMINISTRATIVO O setor administrativo é basicamente composto por colaboradores não ligados à area jurídica. atualmente sendo responsável por 70% dos colaboradores e expandido-se de acordo com o número de contas.    Atuação do não-residente no mercado brasileiro. e tem como principal propósito propiciar suporte e infraestrutura para o andamento do negócio. estes setores tem como principal missão viabilizar a atuação da área jurídica. Obtenção de registros junto à CVM e bolsas de valores e de mercadorias.  Administração de recursos de terceiros (fundos de investimento e carteiras administradas). Operações de securitização.    Estruturação de operações a partir da análise da regulamentação.

que organiza as celebrações internas do escritório. administra todas as questões administrativas relacionadas às secretárias do escritório. realiza um processo de acompanhamento e avaliação dos novos integrantes do escritório. . Ao trabalhar de forma conjunta com o treinamento também fica responsável por introduzir projetos de desenvolvimento. O RH é responsável pelos treinamentos ministrados no escritório. hardware. suporte e desenvolvimento de soluções. pesquisas de clima e plano de carreira. por meio do projeto Fio de Ariadne. É formado pelas seguintes áreas administrativas:  Redes – responsável por interligar todos os equipamentos e compartilhar as informações internamente (por meio de servidores) e externamente (internet e “e-mail”) mediante meios físicos de acesso.29 RH/DP A Diretoria de Recursos Humanos tem como missão a criação e implementação das melhores práticas de gestão de pessoas para o Escritório. protocolos e requisitos de segurança. e com as atividades relacionadas à responsabilidade social. A Diretoria de Recursos Humanos participa dos grupos D_Integração e MF Solidário. seleção e integração de novos funcionários. manutenção. É igualmente responsável pelo recrutamento. tais como as avaliações de desempenho. a coordenação dos processos de desenvolvimento organizacional e a garantia da evolução constante dos profissionais. Além disso. redes e telecomunicações mediante estudo. Após estes procedimentos. implantação. Tecnologia da Informação (TI) O Departamento de Tecnologia gerencia todo ambiente tecnológico de software. também coordena todos os programas de qualidade de vida que são relacionados ao escritório. Considerando este processo de desenvolvimento.

manutenção e acompanhamento de sistemas de gestão financeira e conhecimento do escritório. também. celulares e dispositivos de mobilidade como o “Blackberry”). teses. Dá suporte ao trabalho dos advogados na realização de pesquisas e na recuperação de informações relevantes.responsável pelo apoio aos usuários e pela manutenção do parque de software e hardware em pleno funcionamento. gestão de contratos (clientes e fornecedores) e contabilidade. análise financeira (orçamento e relatórios gerenciais). recebimento fiscal). legislação. uma biblioteca de lazer para os colaboradores do escritório com acervo composto de literatura nacional e estrangeira. Documentos O Setor de Documentação coordena as ações da biblioteca jurídica. contas a receber. artigos e apresentações. mantendo-os atualizados com relação a novos recursos e suportes de informação. Telefonia – responsável pela comunicação de voz e dados do escritório (telefones.30  Sistemas – responsável pela implantação. É responsável pela organização e acesso à informação jurídica proveniente de diferentes fontes: doutrina. Atua no processo de gestão documental que compreende o controle e a movimentação dos documentos do arquivo de clientes. jurisprudência e a produção intelectual do escritório composta por opiniões legais. Financeiro O setor é responsável pelas seguintes áreas: faturamento (nacional e internacional). .   Suporte . arquivo jurídico e biblioteca literária. O setor mantém. financeiro (contas a pagar.

31 O Financeiro coordena as ações do escritório junto aos bancos (pagamentos). Eventos O Núcleo de Marketing e Eventos coordena as ações de divulgação do escritório em revistas e publicações especializadas. telefonistas e assessoria de imprensa. Mantém um banco de dados de clientes atualizado por meio de constantes verificações dos dados cadastrais para que o envio de correspondências diversas cheguem aos clientes com sucesso e de forma padronizada. cadastro. “folders” e outros itens institucionais. auditorias (contabilidade). administração do site. fornecedores recebimentos de notas fiscais e gestão de contratos). assim como em material de divulgação interna e externa. . copa. zela pela identidade visual do escritório e pela manutenção da imagem corporativa em nosso site. clientes (cobrança) e advogados (faturamento e gestão de contratos de clientes). intranet. É formado pelas seguintes áreas administrativas: eventos. recepção.

32 FLUXOGRAMA DAS INFORMAÇÕES Figura 2 .Fluxo de Trabalho Principal .

3. dependendo da disponibilidade na mesma visita.33 1. Ao final da entrevista. audiências e afins. o formulário indica se o caso/processo do cliente tem seu atendimento viável de acordo com as especialidades/knowhow do grupo de advogados e então dá-se início a um cadastro do cliente e designação de um advogado responsável. dando andamento ao processo até que os objetivos sejam atingidos. preenchendo formulários e pesquisas. Dado o aceite do cliente. para realizar uma entrevista detalhada. Cliente contata a central de atendimento ou comparece à empresa. De acordo com a tabela de honorários da empresa. a partir daí. O cliente e o advogado por vezes comparecem juntos à reuniões com a contraparte processual. o cliente recebe um planejamento de atendimento de sua demanda e. 4. . o advogado designado realiza uma reunião preliminar. apresentando seu caso em linhas gerais. O cliente é então informado de que receberá uma proposta de atendimento e é apresentado ao seu advogado caso aceite a mesma. 5. 6. 2. um executivo de contas analisa o formulário preenchido e formata uma proposta para o atendimento e inicia o contato comercial com o cliente. Nesta fase. verificando as necessidades de documentação processuais. começam os protocolos de documentos pertinentes junto aos órgãos competentes relacionados ao caso. Um consultor é designado em uma data posterior ou.

Camada de sistemas Figura 3 . dando ênfase ao papel de cada aplicativo e a sua utilização pelo escritório.34 MACRO-VISÃO DA INFRAESTRUTURA LÓGICA A infraestrutura lógica trata da divisão dos departamentos apresentados em camadas de sistemas.Camada de sistema .

Controle de licitações. Gerencia rotinas de escritórios de advocacia de médio e grande porte. Controle societário. além de integrar diferentes departamentos. administrando as despesas. Multi-idiomas. Controle de marcas e patentes. O sistema disponibiliza informação e acesso a escritórios terceirizados. Administra com eficácia. Diferentes níveis de acesso com total segurança. Relatórios gerenciais. Outras funcionalidades:        Relatórios de auditoria. . Oferece a possibilidade de controlar o tempo gasto dos advogados com cada processo gerando faturas de acordo com os contratos estabelecidos e de integrar o processo de controle financeiro. segurança e flexibilidade os controles dos processos jurídicos.35 Tedesco Software de acompanhamento processual voltado ao gerenciamento das rotinas de departamentos jurídicos de empresas de médio e grande porte. consultas e provisionamento. Administra com segurança e eficiência os controles dos processos jurídicos e consultas de clientes.

performance e confiabilidade técnica de um produto maduro e exaustivamente utilizado por milhares de profissionais dão a este novo produto a credibilidade que você necessita . e deste jeito possam focar no que realmente as distingue das empresas concorrentes. A Elite habilita empresas a:   Melhorar o fluxo de caixa facilitando um faturamento e levantamento rápido e preciso. qualificações profissionais. incluindo relacionamento com o cliente. conhecimento existente e produto funcional.36 Organizer A mesma tecnologia utilizada no Tedesco WebFull foi utilizada para a construção Tedesco Organizer. Mesmo assim cada empresa possui um recurso único. experiência. Outras funcionalidades:    Notas de experiente. o qual inicia com a procura de novos negócios e conclui com o cliente satisfeito. Hosting na Tedesco. A solução da Elite permite que as empresas utilizem esses recursos de forma eficiente. A agilidade. Agenda rápida. . Elite Enterprise ERP Empresas profissionais de serviços seguem um ciclo previsível de atividade. O abrangente pacote de aplicativos da Elite racionaliza e encaminha todas as tarefas essenciais envolvidas para manter um negocio de sucesso. Entrega informes financeiros e business intelligence de forma rápida e precisa.

Exchange O Exchange Server. .  Foca os esforços de marketing nas oportunidades de negocio com potenciais clientes. Mas a elite vai além compatibilidade para ser realmente flexível e customizavel. Os sistemas da Elite são de simples implantação e fáceis de se aderir.37  Gerencia e alavanca o capital intelectual. diretores. sendo uma delas para utilização da área técnicas que compreende a parte de advogados e estagiários do escritório e outra utilizada por todo administrativo. A versão utilizada no escritório é Exchange Server 2003 Standard no servidor que está dividido em duas “Storage Group”. o servidor de mensagens e colaboração da Microsoft. é um software que funciona em servidores que permitem que você envie e receba e-mails e outras formas de comunicação interativa através da rede de computadores. o Exchange Server também interage com o Outlook Express e outros aplicativos clientes de e-mail. ou seja. sistemas operativos e plataformas de hardware. gerentes e demais funcionários. A verdadeira promessa da tecnologia não é forçar o usuário a ser o mesmo mas de dar ao usuário a liberdade de ser único. Projetado para interoperar com um software de aplicativo cliente. eles trabalham de maneira imperceptível junta a uma variedade de bancos de dados standard. modificando o layout de telas e customizar as nomenclaturas. tal como o Microsoft Outlook. oferecendo a habilidade de incorporar no programa processos externos de fluxo de trabalho e negócios. incluindo exemplos de produtos funcionais que podem ser referenciados e reutilizados para futuros projetos.

Além do acesso aos seus arquivos. desdobrem programas a muitos computadores. Tem como finalidade prover acesso aos usuários. utilização do protocolo ICA em detrimento ao protocolo mais comum RDP. Uma informação ativa e ajustes das lojas do diretório que relacionam-se a uma organização em uma central. basta ter um cliente Metaframe instalado em seu computador pessoal para se conectar ao escritório. da empresa Citrix. consultas de processos. como liberação de portas do firewall restrita a tcp 1494 e udp 1604.38 Citrix MetaFrame Citrix MetaFrame Server. desde que permitidos. publicação de determinados aplicativos seguros e autenticação através do Active Directory da Microsoft. ERP. O acesso ao servidor Citrix MetaFrame Server está condicionado a algumas regras de segurança. e apliquem updates críticos a uma organização inteira. acessarem aos recursos do escritório remotamente. o colaborador com acesso Metaframe poderia utilizar recursos tais como impressoras. É um software da Microsoft utilizado em ambientes Windows. services packs atualizados e aplicados corretamente. é um servidor de ambiente de trabalho remoto baseado em Microsoft Windows. acessível. O "diretório ativo" permite que os administradores atribuam à empresa políticas largas. Está disponível para os sistemas operacionais Linux e Windows. . É uma maneira segura de o advogado ter acesso aos seus documentos de qualquer lugar que estiver. Active Directory O Active Directory é uma implementação de serviço de diretório no protocolo LDAP que armazena informações sobre objetos em rede de computadores e disponibiliza essas informações a usuários e administradores desta rede. timesheet e outros. base de dados organizada.

O Active Directory foi inspecionado em 1996 e usado primeiramente com Windows 2000. telefones úteis e informações gerais. notícias e premiações. modelos de documentos. a uma instalação grande. informações de segurança e também divulga a seus clientes suas melhores práticas no ramo de advocacia. possibilitando visualizar o cadastro de todos os colaboradores. conhecida como 'Windows Server 2003'. . foi revisado para estender a sua funcionalidade e melhorar a administração para uma nova versão.39 As redes ativas do diretório podem variar desde uma instalação pequena. Através do website. O Active Directory está relacionado à:          Gerenciamento centralizado GPO – Políticas de Grupo Catálogo Global Gerenciamento de Desktop Intellimiror Distribuição de Software Automática Interface de acesso ADSI Compatibilidade com sistemas operacionais MS Legados Administração Delegada Replicação Automática Website/intranet O website proporciona ao escritório Candido. com cem objetos. o colaborador terá acesso a intranet. formulários financeiros em geral. Mais tarde. procedimentos. Carvalho e Vieira Associados divulgar suas áreas de atuação. descrições e qualificações de seus advogados. com milhões de objetos. normas.

40 TOPOLOGIA A rede da Candido. em geral a internet).Sistema de Nomes de Domínios) e um servidor web server. A rede DMZ possui um servidor de e-mail. Elite Enterpise. um servidor DNS (Domain Name System . Citrix e um Storage.Diagrama macro de Rede . Carvalho e Vieira Associados possui um firewall que divide a rede interna da rede externa e a rede DMZ (área de rede que permanece entre a rede interna de uma organização e uma rede externa. REDES Figura 4 . A rede interna possui as estações de trabalho dos usuários e os servidores Active Directory. Na rede externa só possui um Roteador conectado a ele.

41 DESCRITIVO E PLANTAS A Candido. . Carvalho e Vieira Associados fica localizada num dos melhores prédios comercias de São Paulo. PLANTAS Figura 5 .Planta do 13º Andar A disposição dos departamentos foi planejada com o objetivo de gerenciar os acessos físicos e garantir maior segurança aos colaboradores e a empresa. O 13º andar é composto pelas áreas administrativas de recursos humanos. com um infraestrutura privilegiada e de fácil acesso.

ficando a recepcionista do andar responsável pelo gerenciamento destes acessos durante horário comercial. Figura 6 . Por ser o andar com o maior número de colaboradores.Planta do 14º Andar No 14º andar ficam localizados os departamentos técnicos.42 documentos. . O acesso ao andar é exclusivo à estes departamentos. por serem de grande circulação. faturamento e eventos. Nas áreas de treinamento e lanchonete. não há controle de entrada. Não há área de sombra nos arquivos deslizantes. ficando apenas dois analistas do Help Desk com acesso completo à todos os andares. estão instaladas câmeras de segurança nas áreas de fluxo de pessoas.

Planta do 15º Andar No 15º andar ficam localizados os gestores de cada departamento técnico e os sócios-diretores da Candido. há controle de acesso por leitora de cartão de proximidade. Nesta área. Próxima à sala de conferência está a sala dos servidores. além do monitoramento por câmeras.43 Figura 7 . onde se concentram todos os equipamentos tecnológicos da empresa. . Carvalho Vieira e Associados.

.Planta de zoneamento Na administração do condomínio.44 Figura 8 . toda a infraestrutura que passa através dos “shafts” obedece as normas técnicas e há documentação de todos as unidades do condomínio.

.45 Figura 9 . tem uma infraestrutura privilegiada e segue todas as normas técnicas estabelecidas por lei.Planta da fachada Por fazer parte de um condominio com outras torres ao redor. Sendo responsável apenas pela área externa do escritório. O acesso ao condominio é gerenciado por empresa terceirizada e agrega uma grande gama de serviços que proporcionam segurança aos visitantes e colaboradores. o edificio onde está localizada a Candido. Carvalho e Vieira Associados.

constituindo aspectos determinantes para a escolha das medidas e controles de segurança à serem implementados. ou seja. existem dois métodos utilizados para mensurar os riscos existentes. Para desenvolver o processo da gestão de riscos é necessário realizar a análise de risco. A análise de riscos é de suma importância para a compreensão dos riscos envolvidos no ambiente da empresa. integridade e disponibilidade da informação do negócio. Em uma análise de riscos. monitoração e melhoria da segurança da informação no ambiente. ambos os conceitos estão relacionados. são eles: qualitativo e quantitativo.46 CAPÍTULO III ANÁLISE DE RISCOS O capitulo em epígrafe foi escrito pelo Security Office numa situação inicial encontrada na empresa e tem como objetivo descrever os métodos para desenvolvimento correto da Análise de Risco. 3. METODOLOGIA DE ANÁLISE DE RISCOS Análise de risco Introdução a gestão de riscos e análise de riscos O sistema de gestão de riscos visa facilitar a identificação. É de interesse dos gestores e das equipes envolvidas com a gestão de riscos em uma organização e em entidades externas que dão suporte a essas atividades. implementação. Onde pelo método . pois sem ela seria difícil determinar o potencial de impacto da ameaça existente e o conjunto adequado de medidas de segurança a ser implementado. de acordo com as necessidades e objetivos específicos destas no que se refere à garantia da manutenção da confidencialidade.

adequação das medidas de proteção. p. é justo e perfeito. 3) a definição de ameaça "[. brioso. confidencialidade é a garantia do resguardo das informações dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada. No entanto. Vulnerabilidade: Segundo a norma ABNT NBR ISO/IEC 17799 (2005. .. pessoa de honra. é puro de alma e de espírito. de conduta reta. graus de incerteza). pundonoroso.] é a causa potencial de um incidente indesejado que pode resultar em um dano para um sistema ou organização". cujo objetivo é manter os serviços disponibilizados o máximo de tempo possível. ética. Em outras palavras. é importante introduzir alguns conceitos:  Confidencialidade: é a propriedade de que a informação não estará disponível ou divulgada à indivíduos. freqüência. impacto. o método escolhido neste projeto é o quantitatvo. graus de incerteza). cuja natureza de ação nos dá uma imagem de inocência. o que é íntegro. educada. Conceitos Fundamentais Para entender melhor sobre o sistema de gestão de risco.  Disponibilidade: é um sistema informático resistente à falhas de software  e energia.  Ameaça: Segundo a norma ABNT NBR ISO/IEC 17799 (2005. significa a qualidade de alguém ou algo ser íntegro. entidades ou processos sem autorização. imparcial. a estimativa de perdas potenciais é avaliada de forma relativa (não há precisão quanto ao valor do ativo. pureza ou castidade. adequação das medidas de proteção. freqüência. impacto.  Integridade: vem do latim “integritate”. Já no método qualitativo.P3) a definição de vulnerabilidade é “a fragilidade de um ativo ou grupo de ativos que podem ser exploradas por uma ou mais ameaças".47 quantitativo a estimativa de perdas potenciais é avaliada de forma absoluta (quantifica-se o valor do ativo.

táticas e as operacionais. CEO. desta maneira prejudicando a organização”. Critérios para escolha de ativos relacionados ao contexto Devido a sua importância é necessário certificar que os ativos relacionados ao escopo do projeto são analisados. a definição de risco é “a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos. infra-estrutura. utiliza-se como definição do contexto as áreas estratégicas. software. Critério para definição do contexto da análise A definição do contexto visa obter informações relevantes do ambiente para realizar uma análise e gestão de riscos coerente. pessoas. é feito um inventário na empresa para identificar sua existência. Nesse trabalho. que são executados no prazo máximo de 5 dias úteis. para isso.  Risco: Segundo a norma ABNT NBR ISO/IEC 27005. podem ser considerados como um ativo. a definição de risco é “mudança adversa no nível obtido dos objetivos de negócios”.  Ativo: é tudo aquilo que possui valor ou gera valor para a empresa. . a área estratégica refere-se ao negócio da empresa. CSO. que são documentados pelo Security Officer e definidos os responsáveis por informar sobre esta. CIO e gestores de cada área. TI e SEGURANÇA. ou seja. hardware. onde. É definido pelo Security Officer que os responsáveis pelo levantamento dessas informações são os departamentos: RH/DP. São desenvolvidos formulários para identificação de cada ativo.48  Impacto: Segundo a norma ABNT NBR ISO/IEC 27005. a tática refere-se em colocar a estratégia em prática e a operacional são as ações táticas do presidente da empresa.

49 Formulário para de RH/DP: Formulário de entrevista: Levantamento de ativos pessoas Área: Nome: Ramal: E-mail: Sistemas: Presidente Diretores/Ger Usuários Terceiros Existe? ( ) Sim ( ) Não ( ) Sim ( ) Não ( ) Sim ( ) Não ( ) Sim ( ) Não Responsável Localização Quantidade Outros ativos .

50 Formulário para área de TI: Formulário de entrevista: Levantamento de Ativos Tecnológicos Área: Nome: Ramal: E-mail: Sistemas: Servidores de e-mail Servidores de arquivos Servidores de serviço de diretório Servidores de DNS Servidores de Proxy Servidores de impressão Servidor de banco de dados Servidores web Estações Notebooks Switch Roteador Impressoras Smartphones Ambiente de redes Software de aplicação Software de sistema Ferramentas de desenvolvimento Servidor Firewall Outros ativos Existe? () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não Responsável Localização Quantidade .

51

Formulário para área de segurança:
Formulário de entrevista: Levantamento de Ativos de Infra-estrutura física

Área: Nome: Ramal: E-mail:

Ativos: Prédio Ar-condicionado Salas de reuniões Sala de equipamentos de rede Sala de servidores

Existe? () () Sim Não () () Sim Não () () Sim Não () () Sim Não () () Sim Não

Responsável

Localização

Quantidade

Outros ativos

52

Critérios para definição da Relevância dos Ativos
Para estruturar e permitir uma gestão mais eficiente dos ativos da empresa é utilizado um critério de pontuação a fim de definir quais deles são mais relevantes para o negócio da empresa. O processo para geração dos resultados consiste em:     Reunião conjunta com os responsáveis de cada departamento; Cada participante avaliará os ativos entre os valores de 1 a 5, de acordo com os dados da tabela 1; São realizados as médias dos valores indicados pelos participantes de cada área; O resultado dos dados gerados nessa reunião é utilizado pelo Security Officer para mensurar a relevância dos ativos da empresa.

De acordo com a tabela abaixo, foi elaborado pelo Security Officer as seguintes métricas para definir o nível de relevância dos ativos do ambiente.

Valor 1 2 3 4 5

Importância ativo Muito Baixo Baixo Médio Alto Muito Alto

do

Porcentagem (%) 0 – 20 21 – 40 41 – 60 61 – 80 81 – 100

Relevância 1 2 3 4 5

Tabela 1 - Critério para relevância dos ativos

53

Critérios para definição das ameaças
As ameaças são ações que podem afetar a segurança de bens corporativos e causar a destruição, divulgação, modificação de dados e/ou impedir o funcionamento de um sistema, ou seja, tem o potencial de comprometer ativos (tais como, pessoas, tecnologia e infraestrutura física) e, por isso, também as organizações. As ameaças possuem características que podem ser de origem natural (chuva, ventania, etc) ou humana (erro de digitação, furto de equipamento, etc) e também podem ser acidentais ou intencionais. O critério para selecionar ameaça para uma determinada análise é feito através das vulnerabilidades do ativo. É necessário identificar as ameaças possíveis, tanto as acidentais, quanto as intencionais. A lista de ameaças produzida é fruto de análises de freqüência dos incidentes já ocorridos na empresa, comportamento dos usuários por aspectos culturais, percepção de atrativos de serviços tecnológicos disponíveis, fatores geográficos, relatórios de órgãos públicos que contêm dados sobre histórico de incidentes ambientais da região e estatísticas de incidentes tecnológicos reportados à USP CSIRT (GSeTI).
Ameaça Ação de código malicioso Acesso físico não autorizado Acesso lógico não autorizado Contaminação ambiental Dano a equipamentos ou instalações Dano à integridade física de pessoas Erros ou omissões Extremos de temperatura ou umidade Falha de ar-condicionado Falha de energia Falha de hardware Falha de software Falha em meios de comunicação Falta de mão-de-obra essencial Fenômeno climático Fenômeno meteorológico Fenômeno sísmico Fenômeno vulcânico Fenômenos por ação de água Fraude ou sabotagem

54
Ameaça Furto ou roubo de ativos Incêndio Indisponibilidade de serviços ou informações Interceptação de dados não autorizada Interferência eletromagnética Inundação Multas, indenizações ou sanções Perda de rastreabilidade Queda de performance ou falta de capacidade Queda de performance ou sobrecarga de tráfego Repúdio Violação de propriedade intelectual Vazamento de Informação

Tabela 2 - Ameaças

55

Critérios para classificação das ameaças
As ameaças precisam ser definidas quanto ao grau de exposição que apresentam para os ativos. Seguem abaixo os critérios para classificação das ameaças listadas na tabela 3:
Ameaça Grau de exposição Muito baixa Baixa Média Valor Observação Significa que a ameaça considerada não é 1 relevante para a situação examinada Não há histórico e considera-se que é 2 improvável a concretização da ameaça Significa que há algum histórico e 3 probabilidade que a ameaça se concretize Significa que há um histórico significante e uma avaliação de que a ameaça está por 4 acontecer Significa que há um histórico significante e 5 uma avaliação de que a ameaça já ocorreu

Alta Muito Alta

Tabela 3 - Critério para classificação das ameaças

Critérios para identificação de vulnerabilidades
As informações sobre as vulnerabilidades obtidas no ambiente são realizadas a partir dos resultados de pesquisas em checklists de instituições como a Microsoft, ISACA e NIST, análise crítica dos incidentes que foram registrados nos últimos 3 meses, resultado de varreduras de

vulnerabilidades com o software Nessus e resultado de varreduras de portas com o software Nmap.

que possuem uma ampla base de conhecimentos baseadas em melhores práticas e são atualizadas constantemente.Presidente O presidente participa de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removíveis? A empresa possui uma política de continuidade de negócios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgação da segurança da informação? A segurança da informação é considerada como um prérequisito antes ou durante a estratégia de negócio e planejamento das atividades? A segurança da informação faz parte dos ciclos do negócio? Existe comite de segurança? Participa do comite de segurança? Sim Não Sim Não Sim Não 8 9 10 11 .56 A tabela para avaliação dos riscos existentes no ambiente. # 1 2 3 4 5 6 7 8 9 # 1 2 3 4 5 # 1 2 3 4 5 6 7 Segurança Administrativa . é formulada a partir de checklists disponíveis pelo COBIT e NIST.Diretores e Gerentes Possuem conhecimentos da política de segurança aplicada no ambiente? Participam de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? Segurança Administrativa .Usuários Possuem conhecimentos da política de segurança aplicada no ambiente? Participam de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Os usuários tem conhecimento sobre a utilização dos equipamentos e sistemas de informática? Há controles para instalação de software pirata? Há monitoramento na rede para identificar acessos não permitidos? Os recursos anti-malware estão configurados de modo que os usuários não possam desabilita-los? Os incidentes de segurança são comunicados pelos usuários? Utilizam criptografia em dispositivos removiveis? Segurança Administrativa .

57 # 1 2 3 4 5 6 7 8 9 10 11 Segurança Física .Prédio Possui estabilizadores de tensão? Possui geradores de energia? Possui sistema para identificação de funcionários e visitantes para acesso? Possui porteiro? Possui vigilância? Possui extintores de incêndio e sprinklers? Possui plano de abandono de área em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergência? Possui portas e janelas antifogo? Sim Não # 1 2 3 4 5 6 Segurança Física .Elevadores Possui câmera de vigilância? Possui manutenção periódica? Possui telefone para comunicação com o porteiro em caso de emergência? Possui controle de temperatura? Possui iluminação de emergência? Possui geradores e estabilizador de tensão para caso de falta de energia? Sim Não # 1 2 Segurança Física .Ar Condicionado Possui manutenção periódica? Possui controle de temperatura? Sim Não # 1 2 3 4 Segurança Física .Sala de Reunião Possui controle de acesso? Possui controle de utilização? Possui acústica? Possui algum controle para a identificação dos participantes? Sim Não .

58 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 Segurança Física .Sala de Servidores Possui controle de acesso? Possui controle de incêndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variações de voltagem na rede elétrica? Possui monitoração CFTV? As filmagens são retidas por mais de 30 dias? Existe sistema de detecção de fumaça? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e elétricos estão sob o piso falso? Existes canaletas separadas para cabos de dados e elétricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem é autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz está estruturado e identificado? O cabeamento de energia está estruturado e identificado? Existe controle para medir a utilização de elétrica por rack? Sim Não 18 Existe procedimento de limpeza segura das sala? 19 20 21 22 Existe processo para detectar racks que não foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emissão de aviso sonoro em caso de incidentes? .

59 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurança Lógica .Servidor de Email Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui IDS/IPS instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingência documentado? O recurso de relay está desabilitado? Possui limite para o tamanho de caixa por usuário? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? Sim Não .

60 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Segurança Lógica .Servidor de Arquivos Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Possui limite de espaço por usuário configurado? Sim Não .

61

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

Segurança Lógica - Servidor de Serviço de Diretório Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall?

Sim

Não

62

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Segurança Lógica - Servidor de DNS Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? O serviço DNS possui transferência de zona restrita? O serviço DNS possui recursividade habilitada?

Sim

Não

63

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Segurança Lógica - Servidor de Banco de Dados Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usuário para administratar o banco de dados? O usuário do serviço de Banco de Dados possui política de senha?

Sim

Não

64

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

Segurança Lógica - Servidor Web Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? O serviço IIS possui recurso Front Page extensions desabilitado? O serviço IIS possui banner desabilitado? O serviço IIS possui recurso webdav desabilitado?

65

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

Segurança Lógica - Servidor ERP Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall?

Sim

Não

66 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Segurança Lógica .Servidor Citrix Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? .

Notebook Possui política de senha configurada? Sim Não 2 Possui política de contas? 3 Possui política de log configurada? 4 Possui política de atualização de segurança? 5 Possui política para bloqueio de tela? 6 Possui USB desabilitado? 7 Possui CDROM desabilitado? 8 9 Possui modem desinstalado? 10 Possui criptografia de disco interno? Possui controles para que a configuração e instalação não seja padrão? .67 # 1 Segurança Lógica .Estação de Trabalho Possui política de senha? Sim Não 2 Possui política de log? 3 Possui política de atualização de patches? 4 5 Possui política para bloqueio de tela? 6 Possui modem? 7 Possui USB habilitado? 8 Possui CDROM habilitado? 9 Os equipamentos possuem manutenção? 10 Possui antivirus instalado? 11 Possui IDS/IPS instalado? 12 Possui Firewall pessoal instalado? 13 Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? 14 Possuem política de utilização dos equipamentos? Possui controles para que a configuração e instalação não seja padrão? # 1 Segurança Lógica .

68 # 11 12 Os equipamentos possuem manutenção? 13 Possui antivirus instalado? 14 Possui IDS/IPS instalado? 15 Possui Firewall pessoal instalado? 16 17 Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? 18 Possuem política de utilização dos equipamentos? Possui Firewall instalado? Segurança Lógica .Notebook Possui senha de BIOS configurada? Sim Não # 1 Segurança Lógica .Switch Possui alguma política de senha? Sim Não 2 Possui política de contas? 3 Possui alguma política de log? 4 Possui política de atualização de segurança? 5 6 Possui restrição de acesso à console de administração? 7 Possui controle para que não seja utilizado usuários padrões? 8 Possui fonte redundante? 9 10 Os equipamentos possuem manutenção? 11 Existem locais adequados para armazenar os switches? 12 Existem monitorações de segurança? 13 14 Existem monitorações de performance? 15 Existe local adequado para armazenamento das mídias? 16 Existem controles de acesso para as mídias de backup? 17 Possui o serviço HTTP para administração desabilitado? Existem coleta e controle dos logs? Possui porta console desabilitada para administração? Possui controles para que a configuração e instalação não seja padrão? .

69 # 18 Possui o serviço SNMPdesabilitado? 19 Possui o serviço DHCP habilitado? 20 Possui o serviço DNS desabilitado? 21 Possui suporte à tecnologia 802.Roteador Possui alguma política de senha? Sim Não 2 Possui política de contas? 3 Possui alguma política de log? 4 Possui política de atualização de segurança? 5 6 Possui restrição de acesso à console de administração? 7 Possui usuários padrões? 8 Possui fonte redundante? 9 10 Possui porta auxiliar desabilitado? 11 O equipamento possui manutenção? 12 Existem locais adequados para armazenar o roteador? 13 Existem monitorações de segurança? 14 15 Existem monitorações de performance? 16 Existe local adequado para armazenamento das mídias? 17 Existem controles de acesso para as mídias de backup? 18 Possui o serviço HTTP para administração desabilitado? 19 Possui o serviço SNMP desabilitado? Existem coleta e controle dos logs? Possui porta console desabilitada para administração? Possui controles para que a configuração e instalação não seja padrão? .Switch Sim Não # 1 Segurança Lógica .1x? 22 A funcionalidade 802.1x está desabilitada? Segurança Lógica .

Roteador Sim Não # 1 Segurança Lógica .Smartphone Possui política de senha? Sim Não 2 Possui política de contas? 3 Possui política de log? 4 Possui política de atualização de patches? 5 6 Possui política para bloqueio de tela? 7 Possui criptografia dados? 8 Possui senha de acesso ao dispositivo? Possui controles para que a configuração e instalação não seja padrão? .70 # 20 Possui o serviço DHCP desabilitado? 21 Possui o serviço DNS desabilitado? 22 Existe equipamento de backup? Segurança Lógica .Servidor de Impressão Possui alguma política de senha? Sim Não 2 Possui política de contas? 3 Possui alguma política de log? 4 Possui política de atualização de segurança? 5 6 Possui restrição de acesso à console de administração? 7 Os equipamentos possuem manutenção? 8 Existem locais adequados para armazenamento das impressoras? 9 Existem monitorações de segurança? 10 11 Existem monitorações de performance? 12 Possui o serviço SNMP desabilitado? Existem coleta e controle dos logs? Possui controles para que a configuração e instalação não seja padrão? # 1 Segurança Lógica .

Firewall Existe controle de acesso onde está instalado o firewall? Sim Não 2 Os "updates" e "patches" estão atualizados? 3 4 Os logs do equipamento são gravados em um servidor de log? 5 6 O firewall recebe uma manutenção periódica? 7 Existe firewall reserva em caso de quebra ? 8 Existe documentação de como o firewall está configurado? 9 O firewall possui antivirus instalado? 10 O antivirus é atualizado regularmente? 11 12 13 Existem IDS's na rede antes ou depois do firewall? 14 O acesso ao firewall é feito através do protocolo SSH? 15 A senha de acesso ao firewall possue no minimo 8 caracteres? 16 A senha é trocada periodicamente? 17 Existe uma política de verificação periódica das políticas configuradas? É feito backup das configurações do equipamento cada vez que são feitas alterações no mesmo? É realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? A auditoria do firewall está habilitada? O acesso ao equipamento é de acesso exclusivo aos administradores da rede? (Nenhum estagiário.71 # 9 Os equipamentos possuem manutenção? 10 Os equipamentos possuem controle de patrimônio? 11 Possui o serviço Bluetooth desabilitado? 12 Possui o serviço Infrared desabilitado? Segurança Lógica . técnico ou desenvolvedor tem acesso) Portas não utilizadas são bloqueadas por default? 18 19 Protocolos não utilizados são bloqueados por default? 20 Existe configuração de "logout" automático? .Smartphone Sim Não # 1 Segurança Lógica .

72 # 21 As regras de acesso são as mais específicas possíveis? 22 23 24 Possui mecanismo de proteção contra IP spoofing? 25 Possui mecansmo de proteção contra ataques do tipo ICMP? 26 Possui mecansmo de proteção contra ataques do tipo Teardrop? 27 O equipamento possui fontes redundantes? 28 O equipamento possui contrato de manutenção? 29 Existe acompanhamento periódico da utilização de recursos (capacidade) do equipamento? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Segurança Lógica . . Para o cálculo dos riscos que são encontrados no ambiente. que define o risco como “a combinação da probabilidade de um evento e sua conseqüência”. sendo. a análise é realizada através dos formulários executados.Identificação de vulnerabilidades Critérios para pontuação de riscos Em conformidade com a ISO GUIDE 73.Firewall Sim Não Tabela 4 . convocados os gestores da empresa para definição do risco. utiliza-se a seguinte fórmula: Risco = Probabilidade de ameaça(PA) x Probabilidade Vulnerabilidade(PV) x Severidade(S) x Valor do Ativo(VA) Onde: Probabilidade de Ameaça (PA): É a probabilidade da vulnerabilidade explorar uma ameaça. Probabilidade de Vulnerabilidade(PV): É a probabilidade da vulnerabilidade ser explorada.

# 1 2 3 4 5 6 Segurança Administrativa .Presidente O presidente participa de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma política de continuidade de negócios? Sim Não Ameaça VA PA PV S Risco # 1 2 3 4 5 Sim Não Ameaça VA PA PV S Risco .Diretores e Gerentes Possuem conhecimentos da política de segurança aplicada no ambiente? Participam de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? Total # 1 2 3 4 5 Segurança Administrativa . ou seja. Integridade e Disponibilidade. apontados após levantamento das informação conforme checklist abaixo.Usuários Possuem conhecimentos da política de segurança aplicada no ambiente? Participam de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Os usuários tem conhecimento sobre a utilização dos equipamentos e sistemas de informática? Há controles para instalação de software pirata? Há monitoramento na rede para identificar acessos não permitidos? Os recursos anti-malware estão configurados de modo que os usuários não possam desabilitálos? Os incidentes de segurança são comunicados pelos usuários? Utilizam criptografia em dispositivos removíveis? Sim Não Ameaça VA PA PV S Risco 7 8 9 Total Segurança Administrativa . não existem controles para determinados ativos.73 Severidade (S): É a conseqüência na segurança da informação caso as ameaças explorem a vulnerabilidade nos aspectos de Confidencialidade. Valor do Ativo (VA): É o grau de importância do ativo para o negócio da empresa considerando os componentes de negócio que ele apóia. O cálculo do risco é feito quando a resposta do checklist é negativa.

Presidente Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgação da segurança da informação? A segurança da informação é considerada como um pré-requisito antes ou durante a estratégia de negócio e planejamento das atividades? A segurança da informação faz parte dos ciclos do negócio? Existe comite de segurança? Participa do comite de segurança? Total Sim Não Ameaça VA PA PV S Risco 6 7 8 9 10 11 # 1 2 3 4 5 6 7 8 9 10 11 Segurança Física .Prédio Possui estabilizadores de tensão? Possui geradores de energia? Possui sistema para identificação de funcionários e visitantes para acesso? Possui porteiro? Possui vigilância? Possui extintores de incêndio e sprinklers? Possui plano de abandono de área em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergência? Possui portas e janelas antifogo? Sim Não Ameaça VA PA PV S Risco Total # 1 2 3 4 5 6 Segurança Física .Ar Condicionado Possui manutenção periódica? Possui controle de temperatura? Total Sim Não Ameaça VA PA PV S Risco Sim Não Ameaça VA PA PV S Risco .Elevadores Possui câmera de vigilância? Possui manutenção periódica? Possui telefone para comunicação com o porteiro em caso de emergência? Possui controle de temperatura? Possui iluminação de emergência? Possui geradores e estabilizador de tensão para caso de falta de energia? Total # 1 2 Segurança Física .74 # Segurança Administrativa .

75 # 1 2 3 4 Segurança Física .Sala de Servidores Possui controle de acesso? Possui controle de incêndio apropriado? Possui controle de incêndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variações de voltagem na rede elétrica? Possui monitoração CFTV? As filmagens são retidas por mais de 30 dias? Existe sistema de detecção de fumaça? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e elétricos estão sob o piso falso? Existes canaletas separadas para cabos de dados e elétricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem é autorizado a pegar chaves dos racks? Existe controle de quem é autorizado a pegar chaves dos racks? 15 16 17 18 19 20 21 22 A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz está estruturado e identificado? O cabeamento de energia está estruturado e identificado? Existe controle para medir a utilização de elétrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que não foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emissão de aviso sonoro em caso de incidentes? Total Sim Não Ameaça VA PA PV S Risco Sim Não Ameaça VA PA PV S Risco 3 4 5 6 7 8 9 10 11 12 13 14 # 1 2 3 4 Segurança Lógica .Sala de Reunião Possui controle de acesso? Possui controle de utilização? Possui acústica? Possui algum controle para a identificação dos participantes? Total # 1 2 Segurança Física .Servidor de Email Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Sim Não Ameaça VA PA PV S Risco .

76 # 5 6 7 8 9 10 11 12 13 14 Segurança Lógica .Servidor de Email Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias de backup? Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui IDS/IPS instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingência documentado? O recurso de relay está desabilitado? Possui limite para o tamanho de caixa por usuário? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? Total Sim Não Ameaça VA PA PV S Risco 15 16 17 18 19 20 21 22 23 24 # 1 2 3 4 5 6 7 8 9 Segurança Lógica .Servidor de Arquivos Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias de backup? Possui fonte redundante? Sim Não Ameaça VA PA PV S Risco .

Servidor de Arquivos Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Possui limite de espaço por usuário configurado? Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Segurança Lógica .77 # 10 11 12 13 14 15 16 17 18 19 20 21 22 Segurança Lógica .Servidor de Serviço de Diretório Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivírus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? VA PA PV S Sim Não Ameaça VA PA PV S Risco Sim Não Ameaça Risco .

78 # 19 20 Segurança Lógica .Servidor de DNS Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivírus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? O serviço DNS possui transferência de zona restrita? O serviço DNS possui recursividade habilitada? Total # 1 2 3 4 Segurança Lógica .Servidor de Banco de Dados Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? VA S Sim Não Ameaça VA PA PV S Risco Sim Não Ameaça PA PV Risco .Servidor de Serviço de Diretório Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? VA PA PV S Sim Não Ameaça Risco Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Segurança Lógica .

Servidor Web Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Ameaça VA PA PV S Risco VA S Sim Não Ameaça PA PV Risco .Servidor de Banco de Dados Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivírus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usuário para administratar o banco de dados? O usuário do serviço de Banco de Dados possui política de senha? Total # 1 2 3 4 5 6 7 8 9 10 11 Segurança Lógica .79 # 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Segurança Lógica .

80 # 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurança Lógica .Servidor Web Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivírus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivírus/IDS/IPS/Firewall? O serviço IIS possui recurso Front Page extensions desabilitado? O serviço IIS possui banner desabilitado? O serviço IIS possui recurso webdav desabilitado? Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Segurança Lógica .Servidor ERP Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivírus instalado? Possui IDS/IPS instalado? Sim Não Ameaça VA PA PV S Risco Ameaça VA PA PV S Risco .

Servidor Citrix Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivírus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivírus/IDS/IPS/Firewall? Total Ameaça VA PA PV S Risco Sim Não Ameaça VA PA PV S Risco .Servidor ERP Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivírus/IDS/IPS/Firewall? Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Segurança Lógica .81 # 19 20 21 Segurança Lógica .

82 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Segurança Lógica .Notebook Possui política de senha configurada? Possui política de contas? Possui política de log configurada? Possui política de atualização de segurança? Possui política para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configuração e instalação não seja padrão? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada? Os equipamentos possuem manutenção? Possui antivírus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Possuem política de utilização dos equipamentos? Total Sim Não Ameaça VA PA PV S Risco .Estação de Trabalho Possui política de senha? Possui política de log? Possui política de atualização de patches? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui modem? Possui USB habilitado? Possui CDROM habilitado? Os equipamentos possuem manutenção? Possui antivírus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possuem políticas de atualizações para o antivírus/IDS/IPS/Firewall? Possuem política de utilização dos equipamentos? Sim Não Ameaça VA PA PV S Risco Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Segurança Lógica .

1x está desabilitada? Total Sim Não Ameaça VA PA PV S Risco .1x? A funcionalidade 802.83 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Segurança Lógica .Switch Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui restrição de acesso à console de administração? Possui controle para que não seja utilizado usuários padrões? Possui fonte redundante? Possui porta console desabilitada para administração? Os equipamentos possuem manutenção? Existem locais adequados para armazenar os switches? Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Possui o serviço HTTP para administração desabilitado? Possui o serviço SNMP desabilitado? Possui o serviço DHCP habilitado? Possui o serviço DNS desabilitado? Possui suporte à tecnologia 802.

Roteador Possui alguma política de senha? Possui alguma política de senha? Sim Não Ameaça VA PA PV S Risco 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui restrição de acesso à console de administração? Possui usuários padrões? Possui fonte redundante? Possui porta console desabilitada para administração? Possui porta auxiliar desabilitado? O equipamento possui manutenção? Existem locais adequados para armazenar o roteador? Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Possui o serviço HTTP para administração desabilitado? Possui o serviço SNMP desabilitado? Possui o serviço DHCP desabilitado? Possui o serviço DNS desabilitado? Existe equipamento de backup? Total .84 # 1 Segurança Lógica .

Smartphone Possui política de senha? Possui política de contas? Possui política de log? Possui política de atualização de patches? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo? Os equipamentos possuem manutenção? Os equipamentos possuem controle de patrimônio? Possui o serviço Bluetooth desabilitado? Possui o serviço Infrared desabilitado? Sim Não Ameaça VA PA PV S Risco Total .85 # 1 2 3 4 5 6 7 8 9 10 11 12 Segurança Lógica .Servidor de Impressão Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui restrição de acesso à console de administração? Os equipamentos possuem manutenção? Existem locais adequados para armazenamento das impressoras? Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? Possui o serviço SNMP desabilitado? Sim Não Ameaça VA PA PV S Risco Total # 1 2 3 4 5 6 7 8 9 10 11 12 Segurança Lógica .

86 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Segurança Lógica .Firewall Existe controle de acesso onde está instalado o firewall? Os "updates" e "patches" estão atualizados? A auditoria do firewall está habilitada? Os logs do equipamento são gravados em um servidor de log? É realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manutenção periódica? Existe firewall reserva em caso de quebra ? Existe documentação de como o firewall está configurado? O firewall possui antivirus instalado? O antivirus é atualizado regularmente? Existe uma política de verificação periódica das políticas configuradas? É feito backup das configurações do equipamento cada vez que são feitas alterações no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall é feito através do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? A senha é trocada periodicamente? O acesso ao equipamento é de acesso exclusivo aos administradores da rede? (Nenhum estagiário.Levantamento dos riscos . técnico ou desenvolvedor tem acesso) Portas não utilizadas são bloqueadas por default? Protocolos não utilizados são bloqueados por default? Existe configuração de "logout" automático? As regras de acesso são as mais específicas possíveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteção contra IP spoofing? Possui mecansmo de proteção contra ataques do tipo ICMP? Possui mecanismo de proteção contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? O equipamento possui contrato de manutenção? Existe acompanhamento periódico da utilização de recursos (capacidade) do equipamento? Sim Não Ameaça VA PA PV S Risco 17 18 19 20 21 22 23 24 25 26 27 28 29 Total Tabela 5 .

etc. médios ou grandes. Exemplo de impactos operacionais: interrupção dos negócios. Exemplo de impactos financeiros: perdas de receitas. problemas de perda de confiança (de clientes. etc. pagamento de multas contratuais. Após a análise dos resultados conseguimos apontar os impactos de acordo com a relevância de cada ativo para a companhia. juros. de entidades reguladoras. .rating. Impacto é resultado de um incidente se segurança. cancelamento de ordens de vendas por atraso. funcionários temporários. Os possíveis impactos podem ser operacionais e financeiros.). indisponibilidade de fundos. perda da capacidade de atendimento a clientes externos e internos. despesas extraordinárias com serviços externos. descontos. da alta gerência. de entidades classificadoras . que poderá acarretar perdas ou danos pequenos. problemas de imagem. compras de emergência. vendas.87 Critérios para classificação de riscos e impactos A análise identifica os principais riscos nos ativos com as respectivas ações para minimizar os problemas e garantir a conformidade com os requisitos de segurança definidos pela empresa.

Com essa informação foi possível gerar questionários para cada ativo com o fim de identificar as vulnerabilidades do mesmo e pontuado de acordo com sua relevância. .88 A tabela abaixo. Com essa pontuação foi possível verificar o ativo que está vulnerável e quais ações devem ser tomadas.Classificação de riscos e impactos Critérios para apresentação de resultado Foi passado para o gestor da área de informática um questionário para saber os ativos existentes na empresa bem como o valor de cada ativo (dentro de uma escala de 1 a 5). potencial de vulnerabilidade e severidade. Com todas essas informações foi possível gerar os gráficos de ameaça. desde que. essa seja realizada por meios formais. potencial de ameaça. Valores 576 à 625 Alto 451 à 575 Médio 301 à 450 Baixo 126 à 300 Muito Baixo 0 à 125 Tabela 6 . São riscos que os gestores devem ser comunicados e orientados a controlá-los em um tempo acordado. São riscos que os gestores devem ser comunicados e podem aceita-los. risco existente. risco quantitativo e risco qualitativo. classifica os riscos identificados nessa análise: Nível de risco Muito Alto Justificativa São riscos que os gestores devem ser comunicados e orientados a eliminarem imediatamente. São riscos que os gestores devem ser comunicados e podem aceita-los. desde que. essa seja realizada por meios formais. São riscos que os gestores devem ser comunicados e orientados a controlá-los sem um tempo prédefinido.

escrito pelo Security Officer. EXECUÇÃO DA ANÁLISE DE RISCOS Os questionários são respondidos pelas respectivas áreas. 4. de acordo com os resultados abaixo: Formulário para área o RH/DP: Formulário de entrevista: Levantamento de ativos pessoas Área: Nome: Ramal: E-mail: Sistemas: Presidente Diretores/Ger Usuários Terceiros Existe? ( x ) Sim ( ) Não ( x ) Sim ( ) Não ( x ) Sim ( ) Não ( x ) Sim ( ) Não Responsável Localização Outros Ativos .89 CAPITULO IV O capítulo em epígrafe. Carvalho e Vieira Associados. trata da execução da análise de riscos inicial com o objetivo de identificar os riscos pertinentes ao ambiente da Candido.

90 Formulário para área de TI: Formulário de entrevista: Levantamento de Ativos Tecnológicos Área: Nome: Ramal: E-mail: Sistemas: Servidores de e-mail Servidores de arquivos Servidores de serviço de diretório Servidores de DNS Servidores de Proxy Servidores de impressão Servidor de banco de dados Servidores web Estações Notebooks Switch Roteador Impressoras Smartphones Ambiente de redes Servidor Firewall Existe? (x) Sim ( ) Não (x) Sim ( ) Não (x) Sim ( ) Não (x) Sim ( ) Não (x) ( ) Sim Não (x) Sim ( ) Não (x) Sim ( ) Não (x) Sim ( ) Não (x) Sim ( ) Não (x) Sim ( ) Não (x) Sim ( ) Não (x) Sim ( ) Não (x) Sim ( ) Não (x) Sim ( ) Não (x) ( ) Sim Não (x) Sim ( ) Não Responsável Localização Quantidade 1 2 2 2 0 1 1 2 240 15 5 1 5 12 1 1 Servidor ERP – 1 Servidor Citrix – 1 Outros ativos .

91 Formulário para área de segurança: Formulário de entrevista: Levantamento de Ativos de Infra-estrutura física Área: Nome: Ramal: E-mail: Ativos: Prédio Elevadores Ar-condicionado Salas de reuniões Sala de servidores Existe? (x) () Sim Não (x) () Sim Não (x) () Sim Não (x) () Sim Não (x) () Sim Não Responsável Localização Quantidade Outros ativos .

Lista dos ativos do ambiente Depois do levantamento dos ativos. de acordo com a Tabela 7: Ativo Ar Condicionado Elevadores Prédio Sala de Reunião Smartphone Estação de Trabalho Servidor de Impressão Diretores e Gerentes Usuários Notebook Presidente Servidor Web Switch Sala de Servidores Firewall Roteador Servidor de Banco de Dados Servidor de Arquivos Servidor de DNS Servidor de Serviço de Diretório Servidor Citrix Servidor de Email Servidor ERP Tipo do Ativo Infra-Estrutura Física Infra-Estrutura Física Infra-Estrutura Física Infra-Estrutura Física Tecnologia Tecnologia Tecnologia Pessoas Pessoas Tecnologia Pessoas Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tabela 7 . . foi realizado uma entrevista com o gestor da área de informática junto com a diretoria para definir a relevância dos ativos.92 Com o resultado das entrevistas. são listados os ativos que existem na empresa. O security officer tomou nota de todos os ativos e fez uma planilha com os valores de cada um de acordo com sua relevância.

93 De acordo com o critério de definição da relevância dos ativos foi gerado um resultado indicando cada valor de relevância observada na Tabela 8: Ativo Ar Condicionado Elevadores Prédio Sala de Reunião Smartphone Estação de Trabalho Servidor de Impressão Diretores e Gerentes Usuários Notebook Presidente Servidor Web Switch Sala de Servidores Firewall Roteador Servidor de Banco de Dados Servidor de Arquivos Servidor de DNS Servidor de Serviço de Diretório Servidor Citrix Servidor de Email Servidor ERP Tipo do Ativo Infra-Estrutura Física Infra-Estrutura Física Infra-Estrutura Física Infra-Estrutura Física Tecnologia Tecnologia Tecnologia Pessoas Pessoas Tecnologia Pessoas Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Relevância 3 3 4 3 4 4 3 5 4 4 5 4 4 5 5 5 5 4 4 5 5 5 5 Tabela 8 .Relevância dos ativos .

.Relevância dos Ativos De acordo com o critério de definição da relevância dos ativos foi gerado um resultado indicando cada valor de relevância observada no gráfico acima.94 Relevância Servidor ERP Servidor de Email Servidor Citrix Serv. de Banco de Dados Roteador Firewall Sala de Servidores Presidente Diretores e Gerentes Servidor de DNS Servidor de Arquivos Switch Servidor Web Notebook Usuários Estação de Trabalho Smartphone Prédio Servidor de Impressão Sala de Reunião Elevadores Ar Condicionado 0 1 2 3 Relevância 4 5 6 Figura 10 . de Serviço de Diretório Serv.

com a finalidade de identificar os riscos que existem em nos ativos da empresa.Diretores e Gerentes Possuem conhecimentos da política de segurança aplicada no ambiente? Participam de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? Sim Não x x x x x . # 1 2 3 4 5 6 7 8 9 Segurança Administrativa . É apresentado abaixo a tabela com o resultado da entrevista.95 Questionário respondido É convocado os gestores da empresa e o presidente para responder os questionários.Usuários Possuem conhecimentos da política de segurança aplicada no ambiente? Participam de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Os usuários tem conhecimento sobre a utilização dos equipamentos e sistemas de informática? Há controles para instalação de software pirata? Há monitoramento na rede para identificar acessos não permitidos? Os recursos anti-malware estão configurados de modo que os usuários não possam desabilita-los? Os incidentes de segurança são comunicados pelos usuários? Utilizam criptografia em dispositivos removiveis? Sim Não x x x x x x x x x # 1 2 3 4 5 Segurança Administrativa .

Prédio Possui estabilizadores de tensão? Possui estabilizadores de tensão? Possui geradores de energia? Possui sistema para identificação de funcionários e visitantes para acesso? Possui porteiro? Possui vigilância? Possui extintores de incêndio e sprinklers? Possui plano de abandono de área em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergência? Possui portas e janelas antifogo? Sim Não x x x x x x x x x x x x # 1 2 3 4 5 6 Segurança Física .Elevadores Possui câmera de vigilância? Possui manutenção periódica? Possui telefone para comunicação com o porteiro em caso de emergência? Possui controle de temperatura? Possui iluminação de emergência? Possui geradores e estabilizador de tensão para caso de falta de energia? Sim x Não x x x x x # 1 2 Segurança Física .Ar Condicionado Possui manutenção periódica? Possui controle de temperatura? Sim x Não x .Presidente O presidente participa de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma política de continuidade de negócios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgação da segurança da informação? A segurança da informação é considerada como um prérequisito antes ou durante a estratégia de negócio e planejamento das atividades? A segurança da informação faz parte dos ciclos do negócio? Existe comite de segurança? Participa do comite de segurança? Sim Não x x x x x x x 8 9 10 11 x x x x # 1 2 3 4 5 6 7 8 9 10 11 12 Segurança Física .96 # 1 2 3 4 5 6 7 Segurança Administrativa .

97 # 1 2 3 4 Segurança Física .Sala de Servidores Possui controle de acesso? Possui controle de incêndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variações de voltagem na rede elétrica? Possui monitoração CFTV? As filmagens são retidas por mais de 30 dias? Existe sistema de detecção de fumaça? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e elétricos estão sob o piso falso? Existes canaletas separadas para cabos de dados e elétricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem é autorizado a pegar chaves dos racks? Existe controle de quem é autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz está estruturado e identificado? O cabeamento de energia está estruturado e identificado? Existe controle para medir a utilização de elétrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que não foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emissão de aviso sonoro em caso de incidentes? Sim Não x x x x x x x x x x x x x x x x x x x x x x x .Sala de Reunião Possui controle de acesso? Possui controle de utilização? Possui acústica? Possui algum controle para a identificação dos participantes? Sim Não x x x x # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Segurança Física .

Servidor de Email Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias de backup? Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui IDS/IPS instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingência documentado? O recurso de relay está desabilitado? Possui limite para o tamanho de caixa por usuário? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? x x x x x x x x x x x x x x x x x x x x x x x Sim Não x x .98 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Segurança Lógica .

Servidor de Arquivos Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias de backup? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias de backup? Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Possui limite de espaço por usuário configurado? Sim Não x x x x x x x x x x x x x x x x x x x x x x x # 1 2 3 4 5 6 7 Segurança Lógica .99 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Segurança Lógica .Servidor de Serviço de Diretório Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Sim Não x x x x x x x .

100 # 8 9 10 11 12 13 14 15 16 17 18 19 20 Segurança Lógica .Servidor de DNS Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Sim Não x x x x x x x x x x x x x x x x x x x .Servidor de Serviço de Diretório Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? x x x x x Sim x x x x x x x x Não # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 Segurança Lógica .

Servidor de Banco de Dados Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usuário para administratar o banco de dados? O usuário do serviço de Banco de Dados possui política de senha? Sim Não x x x x x x x x x x x x x x x x x x x x x x x .Servidor de DNS Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? O serviço DNS possui transferência de zona restrita? O serviço DNS possui recursividade habilitada? Sim Não x x x x x # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Segurança Lógica .101 # 20 21 22 23 24 Segurança Lógica .

102 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurança Lógica .Servidor Web Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? O serviço IIS possui recurso Front Page extensions desabilitado? O serviço IIS possui banner desabilitado? O serviço IIS possui recurso webdav desabilitado? x x x x x x x x x x x x x x x x x x x x x x x x # 1 2 3 4 5 6 Segurança Lógica .Servidor ERP Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Sim Não x x x x x x .

103 # 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Segurança Lógica .Servidor Citrix Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? x x x x x x x x x x x x x x x .Servidor ERP Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? x x x x x x x x x x Sim x x x x x Não # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Segurança Lógica .

104 # 16 17 18 19 20 21 Segurança Lógica .Servidor Citrix Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? x x x x x x # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Segurança Lógica .Estação de Trabalho Possui política de senha? Possui política de log? Possui política de atualização de patches? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui modem? Possui USB habilitado? Possui CDROM habilitado? Os equipamentos possuem manutenção? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Possuem política de utilização dos equipamentos? Sim Não x x x x x x x x x x x x x x # 1 2 3 4 5 6 7 8 9 10 11 Segurança Lógica .Notebook Possui política de senha configurada? Possui política de contas? Possui política de log configurada? Possui política de atualização de segurança? Possui política para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configuração e instalação não seja padrão? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada? Sim Não x x x x x x x x x x x .

Switch Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui restrição de acesso à console de administração? Possui controle para que não seja utilizado usuários padrões? Possui fonte redundante? Possui porta console desabilitada para administração? Sim Não x x x x x x x x x x x x x x x x x x x x x x Os equipamentos possuem manutenção? Existem locais adequados para armazenar os switches? Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Possui o serviço HTTP para administração desabilitado? Possui o serviço SNMPdesabilitado? Possui o serviço DHCP habilitado? Possui o serviço DNS desabilitado? Possui suporte à tecnologia 802.Notebook Os equipamentos possuem manutenção? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Possuem política de utilização dos equipamentos? Sim Não x x x x x x x # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Segurança Lógica .1x? A funcionalidade 802.105 # 12 13 14 15 16 17 18 Segurança Lógica .1x está desabilitada? .

Roteador Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui restrição de acesso à console de administração? Possui usuários padrões? Possui fonte redundante? Possui porta console desabilitada para administração? Sim Não x x x x x x x x x x x x x x x x x x x x x x Possui porta auxiliar desabilitado? O equipamento possui manutenção? Existem locais adequados para armazenar o roteador? Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Possui o serviço HTTP para administração desabilitado? Possui o serviço SNMP desabilitado? Possui o serviço DHCP desabilitado? Possui o serviço DNS desabilitado? Existe equipamento de backup? .106 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Segurança Lógica .

Servidor de Impressão Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui restrição de acesso à console de administração? Os equipamentos possuem manutenção? Existem locais adequados para armazenamento das impressoras? Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? Possui o serviço SNMP desabilitado? Sim Não x x x x x x x x x x x x # 1 2 3 4 5 6 7 8 9 10 11 12 Segurança Lógica .Smartphone Possui política de senha? Possui política de contas? Possui política de log? Possui política de atualização de patches? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo? Os equipamentos possuem manutenção? Os equipamentos possuem controle de patrimônio? Possui o serviço Bluetooth desabilitado? Possui o serviço Infrared desabilitado? Sim Não x x x x x x x x x x x x .107 # 1 2 3 4 5 6 7 8 9 10 11 12 Segurança Lógica .

Identificação de vulnerabilidades respondida .108 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Segurança Lógica .Firewall Existe controle de acesso onde está instalado o firewall? Os "updates" e "patches" estão atualizados? A auditoria do firewall está habilitada? Os logs do equipamento são gravados em um servidor de log? É realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manutenção periódica? Existe firewall reserva em caso de quebra ? Existe documentação de como o firewall está configurado? O firewall possui antivirus instalado? O antivirus é atualizado regularmente? Existe uma política de verificação periódica das políticas configuradas? É feito backup das configurações do equipamento cada vez que são feitas alterações no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall é feito através do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? A senha é trocada periodicamente? O acesso ao equipamento é de acesso exclusivo aos administradores da rede? (Nenhum estagiário. técnico ou desenvolvedor tem acesso) Portas não utilizadas são bloqueadas por default? Protocolos não utilizados são bloqueados por default? Existe configuração de "logout" automático? As regras de acesso são as mais específicas possíveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteção contra IP spoofing? Possui mecansmo de proteção contra ataques do tipo ICMP? Possui mecansmo de proteção contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? O equipamento possui contrato de manutenção? Existe acompanhamento periódico da utilização de recursos (capacidade) do equipamento? Sim x Não x x x x x x x x x x x x x x x 17 x x x x x x x x x x x x x 18 19 20 21 22 23 24 25 26 27 28 29 Tabela 9 .

Diretores e Gerentes Possuem conhecimentos da política de segurança aplicada no ambiente? Participam de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? Sim Não x x x x x Ameaça Vazamento de informações Vazamento de informações Acesso lógico não autorizado Vazamento de informações Vazamento de informações VA 5 5 5 5 5 PA 5 5 5 5 5 PV 5 5 5 5 5 S 5 5 5 5 5 Risco 625 625 625 625 625 3125 Total # 1 2 3 4 5 Segurança Administrativa .109 Pontuação de Risco # 1 2 3 4 5 6 Segurança Administrativa . indenizações ou sanções x Vazamento de informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações VA 5 5 5 5 5 PA 5 5 5 5 5 PV 4 4 4 5 5 S 4 5 5 4 5 Risco 400 500 500 500 625 6 7 x 5 5 3 5 5 5 5 5 625 8 9 10 x x x 5 5 5 5 5 5 4 3 4 4 3 4 400 225 400 .Usuários Possuem conhecimentos da política de segurança aplicada no ambiente? Participam de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Os usuários tem conhecimento sobre a utilização dos equipamentos e sistemas de informática? Há controles para instalação de software pirata? Há monitoramento na rede para identificar acessos não permitidos? Os recursos anti-malware estão configurados de modo que os usuários não possam desabilitálos? Os incidentes de segurança são comunicados pelos usuários? Utilizam criptografia em dispositivos removíveis? Sim Não x x x Ameaça Vazamento de Informações Vazamento de Informações Acesso lógico não autorizado Vazamento de Informações VA 4 4 4 4 4 4 PA 5 5 5 5 5 5 PV 5 5 5 5 5 5 S 5 5 5 5 5 5 Risco 500 500 500 x x x Violação de propriedade intelectual Vazamento de Informações 500 500 7 8 9 x x x Vazamento de Informações Falha em meios de comunicação Vazamento de Informações 4 4 4 5 4 5 Total 3 4 4 4 5 4 240 320 320 3380 # 1 2 3 4 5 Segurança Administrativa .Presidente O presidente participa de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma política de continuidade de negócios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgação da segurança da informação? A segurança da informação é considerada como um pré-requisito antes ou durante a estratégia de negócio e planejamento das atividades? A segurança da informação faz parte dos ciclos do negócio? Existe comite de segurança? Sim Não x x x x x Ameaça Vazamento de informações Acesso lógico não autorizado Vazamento de informações Vazamento de informações Indisponibilidade de serviços ou informações Multas.

110 Falha em meios de comunicação 11 Participa do comite de segurança? x 5 4 Total 4 5 400 4575 # 1 2 3 4 5 6 7 8 9 10 11 12 Segurança Física .Ar Condicionado Possui manutenção periódica? Possui controle de temperatura? Sim Não x Ameaça Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações VA 3 3 S 5 5 x 5 1 Total PA 5 5 5 PV 5 5 4 75 S 5 5 5 5 Risco 375 375 300 375 1425 # 1 2 3 4 Segurança Física .Sala de Reunião Possui controle de acesso? Possui controle de utilização? Possui acústica? Possui algum controle para a identificação dos participantes? Sim Não x x x x Ameaça Acesso físico não autorizado Acesso físico não autorizado Vazamento de informações Acesso físico não autorizado VA 3 3 3 3 5 5 Total .Prédio Possui estabilizadores de tensão? Possui estabilizadores de tensão? Possui geradores de energia? Possui sistema para identificação de funcionários e visitantes para acesso? Possui porteiro? Possui vigilância? Possui extintores de incêndio e sprinklers? Possui plano de abandono de área em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergência? Possui portas e janelas antifogo? Sim Não x x Ameaça Indisponibilidade de serviços ou informações Dano a equipamentos ou instalações Indisponibilidade de serviços ou informações Acesso físico não autorizado Acesso físico não autorizado Acesso físico não autorizado Incêndio Dano à integridade física de pessoas Acesso físico não autorizado Acesso físico não autorizado Dano à integridade física de pessoas Dano à integridade física de pessoas VA 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 5 5 5 5 5 PV 1 1 2 2 2 2 2 2 S 5 5 5 5 5 5 5 5 4 Risco 100 80 x x x x x x x x x x 200 200 0 500 5 2 5 4 5 5 2 Total PA 5 5 5 4 5 PV 5 3 3 4 2 1080 S 5 5 3 4 3 5 150 852 Risco 75 135 192 Risco 375 # 1 2 3 4 5 6 Segurança Física .Elevadores Possui câmera de vigilância? Possui manutenção periódica? Possui telefone para comunicação com o porteiro em caso de emergência? Possui controle de temperatura? Possui iluminação de emergência? Possui geradores e estabilizador de tensão para caso de falta de energia? Sim Não x Ameaça Acesso físico não autorizado Indisponibilidade de serviços ou informações VA 3 3 3 3 3 3 x x x x x Dano à integridade física de pessoas Dano a equipamentos ou instalações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações 5 2 Total PA 5 PV 1 # 1 2 Segurança Física .

Sala de Servidores Possui controle de acesso? Possui controle de incêndio apropriado? Possui controle de incêndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variações de voltagem na rede elétrica? Possui monitoração CFTV? As filmagens são retidas por mais de 30 dias? Existe sistema de detecção de fumaça? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e elétricos estão sob o piso falso? Existes canaletas separadas para cabos de dados e elétricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem é autorizado a pegar chaves dos racks? Existe controle de quem é autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz está estruturado e identificado? O cabeamento de energia está estruturado e identificado? Existe controle para medir a utilização de elétrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que não foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emissão de aviso sonoro em caso de incidentes? x x x x x x x x x x x x x x x x x x x x x Sim Não x x x Ameaça Acesso físico não autorizado Incêndio Dano a integridade física de pessoas Extremo de temperatura ou umidade Extremo de temperatura ou umidade Dano a equipamentos ou instalações Acesso físico não autorizado Perda de rastreabilidade Incêndio Indisponibilidade de serviços ou informações Dano a equipamentos ou instalações Dano a equipamentos ou instalações Acesso lógico não autorizado Acesso físico não autorizado Acesso físico não autorizado Perda de rastreabilidade Furto ou roubo de ativos Perda de rastreabilidade Perda de rastreabilidade Queda de performance ou falta de capacidade Dano a equipamentos ou instalações Furto ou roubo de ativos Dano à integridade física de pessoas Dano à integridade física de pessoas VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 5 4 3 3 4 5 3 5 5 4 4 5 5 5 3 5 3 3 3 4 5 5 PV 5 5 5 5 4 5 4 4 4 4 4 4 5 4 4 4 4 4 4 3 4 4 4 S 5 5 5 4 4 5 4 4 5 4 5 4 4 4 4 4 4 4 4 5 4 4 5 5 5015 225 320 400 400 400 240 400 240 240 Risco 625 625 500 400 5 5 Total .111 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurança Física .

Servidor de Email Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias de backup? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias de backup? Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Existem monitorações de performance? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingência documentado? O recurso de relay está desabilitado? Possui limite para o tamanho de caixa por usuário? x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Sim Não x x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Interceptação de dados não autorizada Ação de código malicioso Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Acesso físico não autorizado Vazamento de Informação Perda de rastreabilidade Indisponibilidade de serviços ou informações Queda de performance ou falta de capacidade Indisponibilidade de serviços ou informações Ação de código malicioso Vazamento de Informação Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Vazamento de Informação Indisponibilidade de serviços ou informações VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 3 4 5 5 5 5 5 5 5 5 5 5 3 5 3 5 3 5 5 5 5 5 5 5 5 PV 3 4 2 3 3 3 3 4 3 3 3 3 3 3 3 3 2 3 4 3 3 3 3 4 5 4 4 4 3 2 3 3 S 3 2 3 4 4 4 5 3 3 4 4 4 4 5 4 4 3 3 3 4 4 3 3 4 3 3 5 3 4 3 3 4 300 225 240 375 300 500 300 300 150 300 150 225 300 180 180 300 300 300 300 Risco 225 160 150 .112 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 Segurança Lógica .

Servidor de Email Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? Sim Não x x Ameaça Vazamento de Informação Ação de código malicioso VA 5 5 PA 5 3 PV 4 4 S 3 3 Risco 300 180 6240 S 4 3 4 3 3 4 5 3 4 4 4 3 4 3 3 4 3 4 4 3 3 3 5 4 4 4 4 4 4 3 320 192 400 320 320 320 180 240 240 320 108 240 240 240 180 120 Risco 240 192 240 180 180 240 240 144 128 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 Segurança Lógica .113 # 33 34 Segurança Lógica .Servidor de Arquivos Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias de backup? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias de backup? Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? x x x x x x x x x x x x x x x x x X X x x Sim Não x X x x x x x x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Ação de código malicioso Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Acesso físico não autorizado Vazamento de Informação Perda de rastreabilidade Indisponibilidade de serviços ou informações Queda de performance ou falta de capacidade Ação de código malicioso Indisponibilidade de serviços ou informações Ação de código malicioso Vazamento de Informação Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 3 4 5 5 5 5 5 5 5 5 5 5 3 5 3 3 5 3 5 5 5 5 5 PV 3 4 3 3 3 3 3 4 2 3 3 4 3 3 2 3 4 3 4 3 3 3 3 4 4 5 4 4 4 3 .

Servidor de Arquivos Possui limite de espaço por usuário configurado? Sim Não x Ameaça Indisponibilidade de serviços ou informações VA 4 PA 5 PV 2 S 3 Risco 120 5884 S 4 3 4 3 4 4 3 4 4 3 4 3 3 3 3 3 3 3 4 4 3 4 4 4 5 4 4 300 240 500 300 500 400 300 6070 225 225 300 135 400 300 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 Segurança Lógica .114 # 31 Segurança Lógica .Servidor de Serviço de Diretório Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivírus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? x x x x x x x x x x x x x x x x x x x x VA 5 5 5 5 5 5 5 5 5 5 4 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 5 5 5 5 5 5 5 5 5 5 3 5 3 5 3 5 5 5 5 5 Total PV 3 4 3 3 4 3 3 4 3 4 3 5 4 4 3 3 4 3 4 3 4 4 5 3 4 4 3 Sim Não x x x x x x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Acesso físico não autorizado Vazamento de Informação Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Ação de código malicioso Vazamento de Informação Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação Risco 300 240 300 225 400 300 180 .

Servidor de DNS Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivírus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? O serviço DNS possui transferência de zona restrita? O serviço DNS possui recursividade habilitada? Sim Não x x x x x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 4 5 5 5 5 5 5 5 5 5 5 3 5 3 5 3 5 5 5 5 5 5 5 PV 3 4 2 2 4 3 3 4 5 3 3 3 3 3 3 4 3 3 3 3 3 4 3 4 4 4 4 3 4 3 S 3 4 3 3 5 4 4 3 3 3 3 4 3 4 3 3 2 4 4 3 4 5 4 4 5 5 4 4 4 4 Risco 180 256 120 120 400 240 x x x x x x x x x x x x x x x x x x x x x x x x Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Acesso físico não autorizado Vazamento de Informação Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Ação de código malicioso Vazamento de Informação Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Vazamento de informação Indisponibilidade de serviços ou informações 192 180 180 240 180 240 120 240 144 180 400 144 320 400 400 320 240 320 240 5996 Total .115 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 Segurança Lógica .

Servidor de Banco de Dados Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivírus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usuário para administratar o banco de dados? O usuário do serviço de Banco de Dados possui política de senha? x x x x x x x x x x x x x x x x x x x x x VA 5 5 5 5 5 5 5 5 5 5 5 4 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 S 4 4 4 3 4 4 4 3 4 3 3 4 3 4 4 3 3 4 3 4 2 4 5 4 4 4 4 300 5870 150 300 500 400 400 225 225 180 225 225 150 240 225 300 180 Sim Não x x x x x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Acesso físico não autorizado Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação Acesso lógico não autorizado Acesso lógico não autorizado PA 5 4 5 5 5 5 4 4 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5 5 5 PV 3 4 3 3 2 3 3 3 4 3 2 3 3 3 3 3 3 3 3 3 3 3 4 4 4 3 3 Risco 300 320 300 225 200 300 Total .116 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 Segurança Lógica .

Servidor Web Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivírus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivírus/IDS/IPS/Firewall? O serviço IIS possui recurso Front Page extensions desabilitado? O serviço IIS possui banner desabilitado? O serviço IIS possui recurso webdav desabilitado? x x x x x x x x x x x x x x x x x x x x x x x x x x x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Acesso físico não autorizado Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 4 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5 5 5 5 PV 4 5 5 5 5 3 3 2 3 3 3 3 3 3 2 3 3 2 3 3 5 5 4 4 3 3 3 4 S 4 4 3 3 4 4 4 3 2 3 3 4 3 3 2 3 3 2 3 3 3 4 5 4 4 4 3 3 Risco 320 320 300 300 400 240 96 120 180 180 240 180 180 180 180 48 180 300 400 400 320 Total 5064 .117 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 Segurança Lógica .

Servidor Citrix Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações VA 5 5 5 5 5 PA 5 4 5 5 5 PV 3 4 3 3 4 S 3 4 3 3 4 6990 Risco 225 320 225 225 400 x x x .Servidor ERP Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivírus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivírus/IDS/IPS/Firewall? Sim Não x x x x x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 4 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5 PV 4 4 4 4 4 3 3 4 4 4 3 4 3 3 5 4 4 4 3 4 4 4 4 4 3 S 4 4 4 4 5 4 4 3 3 4 4 4 3 3 4 4 3 3 4 4 4 4 5 4 3 Risco 400 320 400 400 500 300 x x x x x x x x x x x x x x x x x x x Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Acesso físico não autorizado Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação 240 400 300 400 225 225 400 300 180 300 400 400 500 400 Total # 1 2 3 4 5 Segurança Lógica .118 # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Segurança Lógica .

119 Segurança Lógica .Estação de Trabalho Possui política de senha? Possui alguma política de senha? Sim Não x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Indisponibilidade de serviços ou informações Interceptação de dados não autorizada x x x x x x Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Vazamento de Informações Vazamento de Informações Indisponibilidade de serviços ou informações Ação de código malicioso VA 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 4 4 5 5 5 5 3 PV 3 4 3 4 3 2 4 4 4 3 4 S 4 4 4 5 4 4 3 3 3 3 5 128 PV 3 3 2 3 3 3 3 3 3 4 4 3 4 3 4 3 4 4 4 4 S 4 5 3 3 3 3 4 3 3 3 4 3 4 5 5 3 4 5 4 4 225 400 500 400 400 6105 Risco 240 256 240 400 400 225 240 225 225 300 225 225 Risco 300 300 120 x x x Possui política de log? Possui política de atualização de patches? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui modem? Possui USB habilitado? Possui CDROM habilitado? Os equipamentos possuem manutenção? Possui antivírus instalado? x x x .Servidor Citrix 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? Os equipamentos possuem manutenção? Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivírus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivírus/IDS/IPS/Firewall? x x x x x x x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Interceptação de dados não autorizada Indisponibilidade de serviços ou informações x x x x x x x x x Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha de energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Acesso físico não autorizado Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 4 4 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5 Total # 1 2 3 4 5 6 7 8 9 10 11 Segurança Lógica .

Switch Possui alguma política de senha? Possui alguma política de senha? Sim Não x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações VA 4 4 4 4 4 PA 5 4 5 5 5 PV 4 4 4 3 4 S 4 4 3 3 4 PV 3 4 3 3 4 3 3 4 4 3 3 4 4 4 3 4 4 4 4 4 4 S 4 4 3 3 5 4 4 4 4 5 2 3 3 3 4 4 4 5 4 4 4 320 320 400 320 320 320 4408 Risco 320 256 240 180 320 PV 3 4 4 3 S 4 4 4 4 240 2064 Risco 240 256 180 180 400 240 192 Risco 240 320 Possui política de contas? Possui política de log configurada? Possui política de atualização de segurança? Possui política de atualização de segurança? x x x x Possui política para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configuração e instalação não seja padrão? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada? Os equipamentos possuem manutenção? Possui antivírus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Possuem política de utilização dos equipamentos? x x x x x 240 240 240 Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? x x x .Notebook Possui política de senha configurada? Possui alguma política de senha? Sim Não x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Vazamento de Informações Vazamento de Informações Interceptação de dados não autorizada x x x x x x x x x x Ação de código malicioso Vazamento de Informações Acesso não autorizado Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação Indisponibilidade de serviços ou informações VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 5 5 4 3 5 5 5 3 5 5 5 5 5 5 Total # 1 2 3 4 5 Segurança Lógica .Estação de Trabalho Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possuem políticas de atualizações para o antivírus/IDS/IPS/Firewall? Possuem política de utilização dos equipamentos? Sim Não x x x x Ameaça Indisponibilidade de serviços ou informações Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações VA 4 4 4 4 PA 5 5 5 5 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Segurança Lógica .120 # 12 13 14 15 Segurança Lógica .

Roteador Possui alguma política de senha? Possui alguma política de senha? Sim Não x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada x x Acesso lógico não autorizado Indisponibilidade de serviços ou informações VA 5 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 5 5 PV 3 4 3 3 4 3 4 3 4 S 4 4 4 4 5 4 4 4 4 300 PV 3 3 4 3 4 3 4 3 4 3 4 3 4 3 4 4 4 3 4 S 4 5 3 5 4 3 3 4 5 5 4 3 4 4 4 4 4 4 3 320 320 240 240 5116 Risco 300 320 300 300 500 300 240 240 400 180 320 180 320 320 240 Risco 240 x Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui restrição de acesso à console de administração? Possui usuários padrões? x x x x x .1x? A funcionalidade 802.121 # 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurança Lógica .Switch Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui restrição de acesso à console de administração? Possui controle para que não seja utilizado usuários padrões? Possui fonte redundante? Possui porta console desabilitada para administração? Os equipamentos possuem manutenção? Existem locais adequados para armazenar os switches? Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Possui o serviço HTTP para administração desabilitado? Possui o serviço SNMP desabilitado? Possui o serviço DHCP habilitado? Possui o serviço DNS desabilitado? Possui suporte à tecnologia 802.1x está desabilitada? x x x x x x x x x x x x x x x x Sim Não x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada x Acesso lógico não autorizado Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Perda de rastreabilidade Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso lógico não autorizado Acesso lógico não autorizado VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 5 5 5 3 5 5 5 5 5 5 5 5 5 Total # 1 2 3 4 5 6 7 8 9 Segurança Lógica .

122 # 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Segurança Lógica .Servidor de Impressão Possui alguma política de senha? Possui alguma política de senha? Sim Não x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada x x x x x x Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Perda de rastreabilidade Indisponibilidade de serviços ou informações VA 3 3 3 3 3 3 3 3 3 3 3 3 3 PA 5 4 5 5 5 5 4 5 5 5 5 3 5 PV 3 4 3 4 4 3 2 3 3 4 4 4 4 S 4 4 4 4 5 4 3 4 4 2 4 4 4 240 144 240 180 PV 3 4 3 3 4 4 4 4 3 4 3 4 4 3 2 S 3 3 4 4 3 4 4 3 4 4 3 4 3 4 4 5685 Risco 180 192 180 240 300 180 300 300 300 400 240 300 300 400 Risco 225 300 300 Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui restrição de acesso à console de administração? Os equipamentos possuem manutenção? Existem locais adequados para armazenamento das impressoras? Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? x x x x x .Roteador Possui fonte redundante? Possui porta console desabilitada para administração? Possui porta auxiliar desabilitado? O equipamento possui manutenção? Existem locais adequados para armazenar o roteador? Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Possui o serviço HTTP para administração desabilitado? Possui o serviço SNMP desabilitado? Possui o serviço DHCP desabilitado? Possui o serviço DNS desabilitado? Existe equipamento de backup? x x x x x x x x x x x x Sim Não x x x Ameaça Indisponibilidade de serviços ou informações Acesso físico não autorizado Acesso físico não autorizado Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Perda de rastreabilidade Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações VA 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 5 5 5 5 5 3 5 5 5 5 5 5 5 5 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 Segurança Lógica .

Firewall Existe controle de acesso onde está instalado o firewall? Os "updates" e "patches" estão atualizados? A auditoria do firewall está habilitada? Os logs do equipamento são gravados em um servidor de log? É realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manutenção periódica? Existe firewall reserva em caso de quebra ? Existe documentação de como o firewall está configurado? O firewall possui antivirus instalado? O antivirus é atualizado regularmente? Existe uma política de verificação periódica das políticas configuradas? É feito backup das configurações do equipamento cada vez que são feitas alterações no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall é feito através do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? x Sim x x x x x x x x x x x Não Ameaça Acesso físico não autorizado Indisponibilidade de serviços ou informações Perda de rastreabilidade Perda de rastreabilidade Perda de rastreabilidade Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Erros ou omissões Ação de código malicioso Ação de código malicioso Erros ou omissões Erros ou omissões x x x Acesso lógico não autorizado Acesso lógico não autorizado Acesso lógico não autorizado 5 5 5 5 5 5 3 3 3 4 3 3 300 225 VA 5 5 5 5 5 5 5 5 5 5 5 5 PA 5 5 3 3 3 5 5 3 3 3 3 3 PV 3 3 3 4 3 4 3 3 3 4 3 3 S 3 4 4 4 5 3 4 3 3 3 4 4 180 180 300 180 240 225 300 300 PV 3 4 3 2 4 5 2 3 3 3 4 4 4 S 3 4 3 4 5 3 3 4 4 4 4 5 5 1752 Risco 96 240 240 PV 4 S 4 2076 Risco 180 256 180 160 400 Risco Possui política de contas? Possui política de log? Possui política de atualização de patches? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo? Os equipamentos possuem manutenção? Os equipamentos possuem controle de patrimônio? Possui o serviço Bluetooth desabilitado? Possui o serviço Infrared desabilitado? x x x x .Servidor de Impressão Possui o serviço SNMP desabilitado? Sim x Não Ameaça Indisponibilidade de serviços ou informações VA 3 PA 5 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 Segurança Lógica .Smartphone Possui política de senha? Possui alguma política de senha? Sim Não x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Interceptação de dados não autorizada x x x x x x x Interceptação de dados não autorizada Vazamento de Informações Acesso lógico não autorizado Indisponibilidade de serviços ou informações Perda de rastreabilidade Indisponibilidade de serviços ou informações Interceptação de dados não autorizada VA 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 4 4 5 5 5 3 5 4 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Segurança Lógica .123 # 14 Segurança Lógica .

14% 1. o resultado encontra-se na tabela abaixo.Firewall A senha é trocada periodicamente? O acesso ao equipamento é de acesso exclusivo aos administradores da rede? (Nenhum estagiário.36% .19% 2. Ativo Ar Condicionado Elevadores Prédio Sala de Reunião Smartphone Estação de Trabalho Servidor de Impressão Diretores e Gerentes Usuários Notebook Presidente Servidor Web Switch Tipo do Ativo Infra-Estrutura Física Infra-Estrutura Física Infra-Estrutura Física Infra-Estrutura Física Tecnologia Tecnologia Tecnologia Pessoas Pessoas Tecnologia Pessoas Tecnologia Tecnologia Relevância 3 3 4 3 4 4 3 5 4 4 5 4 4 Risco Existente 75 852 1080 1425 1752 2064 2076 3125 3380 4408 4575 5015 5064 % 0.85% 5.31% 5.20% 3.67% 4. técnico ou desenvolvedor tem acesso) Portas não utilizadas são bloqueadas por default? Protocolos não utilizados são bloqueados por default? Existe configuração de "logout" automático? As regras de acesso são as mais específicas possíveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteção contra IP spoofing? Possui mecansmo de proteção contra ataques do tipo ICMP? Possui mecanismo de proteção contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? O equipamento possui contrato de manutenção? Existe acompanhamento periódico da utilização de recursos (capacidade) do equipamento? Sim x Não Ameaça Acesso lógico não autorizado Acesso físico não autorizado Acesso lógico não autorizado Acesso lógico não autorizado Acesso lógico não autorizado VA 5 PA 5 PV 3 S 3 Risco 17 5 5 3 4 300 x x x x x x x x x x x x x 18 19 20 21 22 23 24 25 26 27 28 29 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 3 3 4 5 5 5 5 3 Total 4 3 4 3 2 1 4 5 3 3 3 3 5 5 4 3 4 4 5 4 4 3 2 3 500 375 Acesso lógico não autorizado Perda de rastreabilidade Perda de rastreabilidade Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Queda de performance ou falta de capacidade 225 120 60 400 500 300 225 135 5570 Com os formulários preenchidos.124 # 16 Segurança Lógica .08% 0.58% 4.90% 1.86% 2. de acordo com a fórmula “R = PV x PA x S x VA” é calculado o risco total de cada ativo.51% 1.31% 3.

Risco total de cada ativo Para melhor visualização dos resultados obtidos.61% 7.42% 5. é apresentado a figura abaixo: Risco Existente Risco Existente Servidor ERP Servidor de Email Servidor Citrix Servidor de Serviço de Diretório Servidor de DNS Servidor de Arquivos Servidor de Banco de Dados Roteador Firewall Switch Servidor Web Sala de Servidores Presidente Notebook Usuários Diretores e Gerentes Servidor de Impressão Estação de Trabalho Smartphone Sala de Reunião Prédio Elevadores Ar Condicionado 0 1000 2000 3000 4000 5000 6000 7000 8000 Figura 11 .125 Ativo Sala de Servidores Firewall Roteador Servidor de Banco de Dados Servidor de Arquivos Servidor de DNS Servidor de Serviço de Diretório Servidor Citrix Servidor de Email Servidor ERP Tipo do Ativo Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Tecnologia Relevância 5 5 5 5 4 4 5 5 5 5 Total Risco Existente 5116 5570 5685 5870 5884 5996 6070 6105 6240 6990 94417 % 5.40% 100.00% Tabela 10 .43% 6.47% 6.22% 6.Risco total por ativo .02% 6.35% 6.90% 6.23% 6.

Tabela de Risco Total por Ativo .126 Ativo Ar Condicionado Elevadores Prédio Sala de Reunião Smartphone Estação de Trabalho Servidor de Impressão Diretores e Gerentes Usuários Notebook Presidente Sala de Servidores Servidor Web Switch Firewall Roteador Servidor de Banco de Dados Servidor de Arquivos Servidor de DNS Servidor de Serviço de Diretório Servidor Citrix Servidor de Email Servidor ERP Risco Existente 75 852 1080 1425 1752 2064 2076 3125 3380 4408 4575 5015 5064 5116 5570 5685 5870 5884 5996 6070 6105 6240 6990 Tabela 11 .

127 Controles por nível de risco As informações abaixo apresentam o nível de risco total encontrados no ambiente e o percentual relativo em termos qualitativos e quantitativos.00% Qualitativo Qtde 25.068 100.531 1% 130.500 37.165 18.Controles por níveis de riscos O gráfico abaixo apresenta o total de controles por nível de risco encontrados no ambiente.189 % 19% 47.Controles não implementados .683 37% 29% 14% 1. Risco Quantitativo Baixo 82 24% Muito Baixo 15 4% Muito Alto 53 15% Médio 101 30% Alto 95 27% Muito Alto Alto Médio Baixo Muito Baixo Figura 12 .00% Tabela 12 . Nivel de Risco Quantitativo Qtde % Muito Alto 53 15% Alto 95 27% Médio 101 29% Baixo 82 24% Muito Baixo 15 4% Total 346 100.

28% dos controles não implementados possuem níveis de risco Baixo e Muito Baixo.500 37% Muito Alto Alto Médio Baixo Muito Baixo Figura 13 .Riscos Encontrados    56% dos riscos encontrados são referentes aos controles não implementados que possuem níveis de risco Alto e Muito Alto. Risco Qualitativo Baixo 18.531 1% Muito Alto 25. 29% dos riscos encontrados são referentes aos controles não implementados que possuem níveis de risco Médio. 30% dos controles não implementados possuem níveis de risco Médio.189 19% Médio 37. . 15% dos riscos encontrados são referentes aos controles não implementados que possuem níveis de risco Baixo e Muito Baixo.165 29% Alto 47.683 14% Muito Baixo 1.128    42% dos controles não implementados possuem níveis de risco Alto e Muito Alto.

Ameaças encontradas Ameaça Furto ou roubo de ativos Incêndio Violação de propriedade intelectual Dano à integridade física de pessoas Erros ou omissões Falha em meios de comunicação Queda de performance ou falta de capacidade Dano a equipamentos ou instalações Ação de código malicioso Falha de energia Vazamento de Informações Perda de rastreabilidade Acesso físico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Indisponibilidade de serviços ou informações Total 1 1 1 2 2 2 2 3 6 6 16 18 27 28 76 112 Tabela 13 .Ameaças .129 Abaixo a lista do número de ameaças encontradas no ambiente: Ameaças Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Acesso físico não autorizado Perda de rastreabilidade Vazamento de Informações Falha de energia Ação de código malicioso Dano a equipamentos ou instalações Queda de performance ou falta de capacidade Falha em meios de comunicação Erros ou omissões Dano à integridade física de pessoas Violação de propriedade intelectual Incêndio Furto ou roubo de ativos 0 20 40 60 80 100 120 Ameaças Figura 14 .

). descontos. pagamento de multas contratuais.130 Os possíveis impactos podem ser operacionais e financeiros. . Exemplo de impactos operacionais: interrupção dos negócios. da alta gerência. etc. compras de emergência. Exemplo de impactos financeiros: perdas de receitas. despesas extraordinárias com serviços externos. etc. perda da capacidade de atendimento a clientes externos e internos. funcionários temporários. problemas de perda de confiança (de clientes. de entidades classificadoras rating. cancelamento de ordens de vendas por atraso. de entidades reguladoras. vendas. problemas de imagem. juros. indisponibilidade de fundos.

Sucesso.Sucesso.Sucesso. Falha Auditoria de acesso ao serviço de diretório .Falha Eventos de logon de conta de auditoria .Sem auditoria Auditoria de eventos de logon . Elaborar políticas de backup com procedimentos de testes regularmente Criar procedimentos para testes de validação periódicos de backup.Desativada Comprimento mínimo da senha . Falha Auditoria de gerenciamento de contas . Falha Auditoria de controle de processos . Falha Auditoria de acesso ao serviço de diretório .Sucesso.Sucesso.Sucesso.Sem auditoria Auditoria de eventos de logon . Falha Auditoria de gerenciamento de contas .Falha Auditoria de alteração de diretivas .15 Caracteres Tempo de vida máximo da senha 30 Dias Tempo de vida mínimo da senha 1 Dias Controle 1 Possui alguma política de senha? 2 Possui política de contas? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos . Falha Instalar os últimos patches de segurança disponíveis pelo fabricante. Falha Auditoria de controle de processos .Sucesso.Sucesso. Falha Auditoria de eventos de sistema . Configurar o bloqueio de tela para 1 minuto de inatividade.Falha Auditoria de alteração de diretivas .Servidor ERP Controles a serem Implementados Configurar as políticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade .0 senhas memorizadas Armazena senhas usando criptografia reversível para todos usuários no domínio . Falha Auditoria de uso de privilégios .Sucesso.Ativada Aplicar histórico de senhas .Sucesso.Sucesso. Falha 3 Possui alguma política de log? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos . Falha Auditoria de eventos de sistema .131 Controles a serem implementados Segurança Lógica . Falha Auditoria de uso de privilégios .Sucesso.Falha Eventos de logon de conta de auditoria . Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia 4 6 Possui política de atualização de segurança? Possui política para bloqueio de tela? 7 Possui política de backup? 8 Possui política para utilização e atualização das mídias? 9 Possui fonte redundante? .

Servidor ERP Controles a serem Implementados Possui espelhamento de HDs? Estabelecer requisitos mínimos de hardware para o servidor. Configurar mecanismos de proteção de segurança na rede. Formalizar procedimentos para o armazenamento e gerenciamento de mídias. Formalizar os contratos de manutenção com as empresas prestadoras de serviços. Configurar mecanismos de proteção de segurança na rede.Ativada Aplicar histórico de senhas . atualização.detecção. Implementar controle para a monitoração de performance. Implementar controle de acesso ao local onde estão armazenadas as mídias de backup. Projetar e aplicar segurança física nas instalações contra ameaças externas e do meio ambiente. Configurar o Servidor de Syslog externo. Criar na recomendação da nova topologia de rede . Controle 10 11 Os equipamentos possuem manutenção? 12 Existem locais adequados para os servidores? 13 14 15 16 17 18 19 20 Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Implementar controle para a monitoração de performance.prevenção e recuperação de códigos maliciosos. Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Controle Segurança Lógica .0 senhas memorizadas Armazena senhas usando criptografia reversível para todos usuários no domínio .a instalação de IDS/IPS de rede.132 Segurança Lógica .para assegurar que somente as pessoas autorizadas tenham acesso. Instalar os servidores em área segura protegidas por controles apropriados de entrada .15 Caracteres Tempo de vida máximo da senha 30 Dias Tempo de vida mínimo da senha 1 Dias 1 Possui alguma política de senha? . Elaborar políticas de controle.Servidor E-mail Controles a serem Implementados Configurar as políticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade .Desativada Comprimento mínimo da senha .

Servidor E-mail Controles a serem Implementados 2 Possui política de contas? Configurar as políticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso. Falha Auditoria de gerenciamento de contas .Sucesso. FalhaAuditoria de acesso ao serviço de diretório .a instalação de IDS/IPS de rede.FalhaAuditoria de alteração de diretivas Sucesso.para assegurar que somente as pessoas autorizadas tenham acesso. Falha 3 Possui alguma política de log? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos .Sucesso. Configurar o Servidor de Syslog .Sem auditoria Auditoria de eventos de logon . FalhaAuditoria de eventos de sistema Sucesso. FalhaAuditoria de gerenciamento de contas . Falha Auditoria de eventos de sistema . 4 5 Possui política de atualização de segurança? Possui política para bloqueio de tela? 6 Possui política de backup? Possui política para utilização e atualização das mídias de backup? 7 8 Existem locais adequados para os servidores? 9 Existe local adequado para armazenamento das mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Possui IDS/IPS instalado? Possui Firewall instalado? Formalizar procedimentos para o armazenamento e gerenciamento de mídias.FalhaEventos de logon de conta de auditoria . Configurar o bloqueio de tela para 1 minuto de inatividade. Falha Auditoria de controle de processos .Sucesso.Sucesso. FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso.Falha Eventos de logon de conta de auditoria . Falha Instalar os últimos patches de segurança disponíveis pelo fabricante.133 Controle Segurança Lógica . Falha Auditoria de uso de privilégios . Falha Auditoria de acesso ao serviço de diretório .Sucesso.Sucesso. Instalar os servidores em área segura protegidas por controles apropriados de entrada .Sucesso. Mecanismos de proteção e segurança devem ser configurados na rede 10 11 12 13 .Sucesso. Elaborar políticas de backup com procedimentos de testes regularmente Criar procedimentos para testes de validação periódicos de backup. Projetar e aplicar segurança física nas instalações contra ameaças externas e do meio ambiente. Criar na recomendação da nova topologia de rede . Implementar controle de acesso ao local onde estão armazenadas as mídias de backup. FalhaAuditoria de uso de privilégios .Falha Auditoria de alteração de diretivas .

0 senhas memorizadas Armazena senhas usando criptografia reversível para todos usuários no domínio .Sem auditoria Auditoria de eventos de logon .Sucesso.prevenção e recuperação de códigos maliciosos. Falha Auditoria de gerenciamento de contas .Sucesso.Sucesso.Servidor Citrix Controles a serem Implementados Configurar as políticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade .Sucesso.Sucesso.15 Caracteres Tempo de vida máximo da senha 30 Dias Tempo de vida mínimo da senha 1 Dias 1 Possui alguma política de senha? 2 Possui política de contas? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos . Falha Auditoria de controle de processos .134 Segurança Lógica .Falha Eventos de logon de conta de auditoria .Sucesso.Falha Auditoria de alteração de diretivas .Servidor E-mail Controles a serem Implementados Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingência documentado? Possui limite para o tamanho de caixa por usuário? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? Elaborar políticas de controle. Falha Auditoria de eventos de sistema .Sucesso. Falha 3 Possui alguma política de log? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos . Falha Auditoria de gerenciamento de contas .Sem auditoria Auditoria de eventos de logon .detecção.Falha Auditoria de alteração de diretivas .Ativada Aplicar histórico de senhas . Falha . Falha Auditoria de acesso ao serviço de diretório .Sucesso. Criar plano de contigência Limitar tamanho da caixa de mensagem dos usuários de e-mail para no máximo 400 MB. atualização. Falha Auditoria de acesso ao serviço de diretório . Controle 14 15 16 17 18 Controle Segurança Lógica . Falha Auditoria de uso de privilégios . Falha Auditoria de eventos de sistema . Falha Auditoria de uso de privilégios . Limitar tamanho máximi das mensagens de E-mail recebidas para no máximo 10 MB.Falha Eventos de logon de conta de auditoria . Falha Auditoria de controle de processos .Sucesso.Sucesso.Sucesso.Desativada Comprimento mínimo da senha .Sucesso. Limitar tamanho das mensagens de E-mail enviadas para no máximo 10 MB.

Formalizar os contratos de manutenção com as empresas prestadoras de serviços.Servidor de Serviços de Diretório Controles a serem Implementados 1 Possui alguma política de senha? Configurar as políticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade . Configurar o Servidor de Syslog externo. Controle 4 5 6 7 8 9 Possui espelhamento de HDs? 10 11 12 13 14 15 16 17 Os equipamentos possuem manutenção? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Controle Segurança Lógica . Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política para utilização e atualização das mídias? Possui fonte redundante? Criar procedimentos formalizados para a instalação e configuração dos sistemas Operacionais. Implementar controle de acesso ao local onde estão armazenadas as mídias de backup. Criar procedimentos para testes de validação periódicos de backup.135 Segurança Lógica . Configurar o bloqueio de tela para 1 minuto de inatividade. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mínimos de hardware para o servidor.a instalação de IDS/IPS de rede. Criar na recomendação da nova topologia de rede .prevenção e recuperação de códigos maliciosos. Elaborar políticas de controle. atualização.Servidor Citrix Controles a serem Implementados Instalar os últimos patches de segurança Possui política de atualização de segurança? disponíveis pelo fabricante. Configurar mecanismos de proteção de segurança na rede.Desativada Comprimento mínimo da senha .detecção. Formalizar procedimentos para o armazenamento e gerenciamento de mídias.0 senhas memorizadas Armazena senhas usando criptografia reversível para todos usuários no domínio . Configurar mecanismos de proteção de segurança na rede.15 Caracteres Tempo de vida máximo da senha 30 Dias Tempo de vida mínimo da senha 1 Dias .Ativada Aplicar histórico de senhas .

Sucesso. Criar procedimentos para testes de validação periódicos de backup.Sucesso. Elaborar políticas de controle. FalhaAuditoria de uso de privilégios .Falha Auditoria de alteração de diretivas . FalhaAuditoria de gerenciamento de contas .prevenção e recuperação de códigos maliciosos.a instalação de IDS/IPS de rede. Configurar mecanismos de proteção de segurança na rede.FalhaEventos de logon de conta de auditoria . Falha Auditoria de controle de processos .136 Controle Segurança Lógica . FalhaAuditoria de acesso ao serviço de diretório .Sem auditoria Auditoria de eventos de logon .Sucesso.Servidor de Serviços de Diretório Controles a serem Implementados 2 Possui política de contas? Configurar as políticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso. atualização. Configurar o Servidor de Syslog externo. Formalizar procedimentos para o armazenamento e gerenciamento de mídias. Falha Auditoria de eventos de sistema . Implementar controle para a monitoração de performance.Sucesso.Sucesso. Falha Auditoria de gerenciamento de contas .FalhaAuditoria de alteração de diretivas Sucesso. FalhaAuditoria de eventos de sistema Sucesso.detecção. Criar na recomendação da nova topologia de rede .Sucesso. Falha 3 Possui alguma política de log? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos . 4 5 6 Possui política de atualização de segurança? Possui política para bloqueio de tela? Possui política para utilização e atualização das mídias? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? 7 8 9 10 11 12 13 14 . Falha Auditoria de acesso ao serviço de diretório .Sucesso. Configurar o bloqueio de tela para 1 minuto de inatividade.Sucesso.Falha Eventos de logon de conta de auditoria . Falha Auditoria de uso de privilégios . Falha Instalar os últimos patches de segurança disponíveis pelo fabricante. Configurar mecanismos de proteção de segurança na rede. Implementar controle de acesso ao local onde estão armazenadas as mídias de backup. FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso.

Falha Auditoria de controle de processos .Falha Eventos de logon de conta de auditoria .Sucesso.Sucesso.Sucesso.Sucesso. Falha Auditoria de uso de privilégios .Sucesso. Criar procedimentos para testes de validação periódicos de backup. Falha 3 Possui alguma política de log? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos .Sucesso.Sem auditoria Auditoria de eventos de logon . Falha Auditoria de eventos de sistema .Desativada Comprimento mínimo da senha .Sucesso. Configurar o bloqueio de tela para 1 minuto de inatividade.Falha Auditoria de alteração de diretivas .Sucesso.Falha Auditoria de alteração de diretivas . Falha Auditoria de uso de privilégios .Servidor de DNS Controles a serem Implementados 1 Possui alguma política de senha? Configurar as políticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade . Falha Auditoria de gerenciamento de contas . Falha Auditoria de acesso ao serviço de diretório . Falha Instalar os últimos patches de segurança disponíveis pelo fabricante. 4 5 Possui política de atualização de segurança? Possui política para bloqueio de tela? Possui política para utilização e atualização das mídias? 6 7 Possui fonte redundante? 8 Possui espelhamento de HDs? . Falha Auditoria de eventos de sistema .Sucesso.Sem auditoria Auditoria de eventos de logon .Sucesso. Falha Auditoria de gerenciamento de contas .0 senhas memorizadas Armazena senhas usando criptografia reversível para todos usuários no domínio .Sucesso. Falha Auditoria de acesso ao serviço de diretório . Falha Auditoria de controle de processos .137 Controle Segurança Lógica .Sucesso. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mínimos de hardware para o servidor.Falha Eventos de logon de conta de auditoria .Ativada Aplicar histórico de senhas .15 Caracteres Tempo de vida máximo da senha 30 Dias Tempo de vida mínimo da senha 1 Dias 2 Possui política de contas? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos .

Criar procedimentos para configuração do DNS Criar procedimentos para configuração do DNS Controle 9 10 11 12 13 14 15 16 17 18 Controle Segurança Lógica .15 Caracteres Tempo de vida máximo da senha 30 Dias Tempo de vida mínimo da senha 1 Dias 2 Possui política de contas? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos .Sucesso.Desativada Comprimento mínimo da senha . Implementar controle para a monitoração de performance.138 Segurança Lógica . Falha Auditoria de uso de privilégios . Elaborar políticas de controle.Sucesso.Servidor de DNS Controles a serem Implementados Existe local adequado para armazenamento das Formalizar procedimentos para o armazenamento e mídias? gerenciamento de mídias.Falha Auditoria de alteração de diretivas .Sucesso.a instalação de IDS/IPS de rede.Sucesso.Servidor de Arquivos Controles a serem Implementados 1 Possui alguma política de senha? Configurar as políticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade .0 senhas memorizadas Armazena senhas usando criptografia reversível para todos usuários no domínio . Configurar o Servidor de Syslog externo.Sem auditoria Auditoria de eventos de logon . Configurar mecanismos de proteção de segurança na rede.Ativada Aplicar histórico de senhas . Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? O serviço DNS possui transferência de zona restrita? O serviço DNS possui recursividade habilitada? Implementar controle de acesso ao local onde estão armazenadas as mídias de backup. atualização. Criar na recomendação da nova topologia de rede . Configurar mecanismos de proteção de segurança na rede. Falha Auditoria de controle de processos . Falha Auditoria de acesso ao serviço de diretório .Sucesso. Falha .prevenção e recuperação de códigos maliciosos.detecção. Falha Auditoria de gerenciamento de contas .Falha Eventos de logon de conta de auditoria .Sucesso. Falha Auditoria de eventos de sistema .

FalhaAuditoria de acesso ao serviço de diretório . Configurar o bloqueio de tela para 1 minuto de inatividade. Configurar o Servidor de Syslog externo. FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso. Formalizar os contratos de manutenção com as empresas prestadoras de serviços. Formalizar procedimentos para o armazenamento e gerenciamento de mídias. Implementar controle de acesso ao local onde estão armazenadas as mídias de backup.Servidor de Arquivos Controles a serem Implementados 3 Possui alguma política de log? Configurar as políticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mínimos de hardware para o servidor.prevenção e recuperação de códigos maliciosos. atualização. Criar na recomendação da nova topologia de rede .139 Controle Segurança Lógica .Sucesso.Sucesso. Configurar mecanismos de proteção de segurança na rede.FalhaEventos de logon de conta de auditoria . Configurar mecanismos de proteção de segurança na rede.a instalação de IDS/IPS de rede. FalhaAuditoria de uso de privilégios .detecção. Criar procedimentos formalizados para a instalação e configuração dos sistemas Operacionais. Elaborar políticas de controle. Criar procedimentos formais para a utilização e configuração do servidor de arquivos 7 8 Possui fonte redundante? 9 Possui espelhamento de HDs? 10 11 12 13 14 15 16 17 18 Os equipamentos possuem manutenção? Existe local adequado para armazenamento das mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Possui limite de espaço por usuário configurado? . FalhaAuditoria de eventos de sistema Sucesso. Falha 4 5 6 Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política para utilização e atualização das mídias de backup? Instalar os últimos patches de segurança disponíveis pelo fabricante. FalhaAuditoria de gerenciamento de contas .FalhaAuditoria de alteração de diretivas Sucesso. Formalizar procedimentos para o armazenamento e gerenciamento de mídias.

Falha Auditoria de gerenciamento de contas .AtivadaAplicar histórico de senhas .Sem auditoria Auditoria de eventos de logon . Falha Auditoria de acesso ao serviço de diretório .Servidor de Banco de Dados Controles a serem Implementados Controle 1 Possui alguma política de senha? Configurar as políticas de senha do servidor para a seguinte diretiva:A senha deve satisfazer a requisitos de complexidade . Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mínimos de hardware para o servidor. Falha Auditoria de controle de processos . Falha Auditoria de controle de processos .15 CaracteresTempo de vida máximo da senha 30 DiasTempo de vida mínimo da senha 1 Dias 2 Possui política de contas? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos .Sucesso.Sucesso.Sucesso. Falha Auditoria de eventos de sistema .Sucesso. 4 5 Possui política de atualização de segurança? Possui política para bloqueio de tela? 6 Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? 7 8 9 Possui espelhamento de HDs? . Falha Auditoria de gerenciamento de contas .Sucesso.Sucesso.Falha Eventos de logon de conta de auditoria . Falha Auditoria de uso de privilégios . Falha Instalar os últimos patches de segurança disponíveis pelo fabricante.Sem auditoria Auditoria de eventos de logon .Sucesso. Criar procedimentos para testes de validação periódicos de backup.140 Segurança Lógica .Sucesso.Sucesso. Falha Auditoria de uso de privilégios . Configurar o bloqueio de tela para 1 minuto de inatividade.Sucesso.Sucesso.Falha Auditoria de alteração de diretivas .Falha Auditoria de alteração de diretivas .0 senhas memorizadasArmazena senhas usando criptografia reversível para todos usuários no domínio DesativadaComprimento mínimo da senha . Falha 3 Possui alguma política de log? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos . Falha Auditoria de eventos de sistema .Falha Eventos de logon de conta de auditoria . Falha Auditoria de acesso ao serviço de diretório . Formalizar procedimentos para o armazenamento e gerenciamento de mídias.Sucesso.

Servidor de Banco de Dados Controles a serem Implementados Formalizar os contratos de manutenção com as Os equipamentos possuem manutenção? empresas prestadoras de serviços.detecção.141 Segurança Lógica . Controle 10 11 12 13 14 15 16 17 18 19 O usuário do serviço de Banco de Dados possui política de senha? Configurar as políticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade . Configurar o Servidor de Syslog externo. Elaborar políticas de controle.prevenção e recuperação de códigos maliciosos. Configurar mecanismos de proteção de segurança na rede.Ativada Aplicar histórico de senhas .Ativada Aplicar histórico de senhas .Desativada Comprimento mínimo da senha .a instalação de IDS/IPS de rede.Desativada Comprimento mínimo da senha .Roteador Controle Controles a serem Implementados 1 Possui alguma política de senha? Configurar as políticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade .0 senhas memorizadas Armazena senhas usando criptografia reversível para todos usuários no domínio . Implementar controle de acesso ao local onde estão armazenadas as mídias de backup.15 Caracteres Tempo de vida máximo da senha 30 Dias Tempo de vida mínimo da senha 1 Dias .0 senhas memorizadas Armazena senhas usando criptografia reversível para todos usuários no domínio .15 Caracteres Tempo de vida máximo da senha 30 Dias Tempo de vida mínimo da senha 1 Dias Segurança Lógica . Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Formalizar procedimentos para o armazenamento e gerenciamento de mídias. Criar na recomendação da nova topologia de rede . Implementar controle para a monitoração de performance. Configurar mecanismos de proteção de segurança na rede. atualização.

para assegurar que somente as pessoas autorizadas tenham acesso. Desabilitar o serviço DHCP Desabilitar o serviço DNS 9 Existem locais adequados para armazenar o roteador? 10 11 12 13 14 15 16 Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Possui o serviço DHCP desabilitado? Possui o serviço DNS desabilitado? . FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso. Configurar o ACL de administração para máquinas restritas. Implementar controle de acesso ao local onde estão armazenadas as mídias de backup. Falha 3 4 5 6 7 8 Possui alguma política de log? Possui política de atualização de segurança? Possui restrição de acesso à console de administração? Possui fonte redundante? Possui porta console desabilitada para administração? Possui porta auxiliar desabilitada? As políticas de logs devem ser configuradas no roteador.FalhaAuditoria de alteração de diretivas Sucesso. Implementar controle para a monitoração de performance. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Desabilitar porta do console para administração Desabilitar porta auxiliar Instalar o roteador em área segura protegidas por controles apropriados de entrada .Sucesso. Habilitar monitoração de segurança Configurar o Servidor de Syslog externo.142 Segurança Lógica .Sucesso. Formalizar procedimentos para o armazenamento e gerenciamento de mídias. FalhaAuditoria de gerenciamento de contas .FalhaEventos de logon de conta de auditoria .Roteador Controle Controles a serem Implementados 2 Possui política de contas? Configurar as políticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso. Projetar e aplicar segurança física nas instalações contra ameaças externas e do meio ambiente. FalhaAuditoria de uso de privilégios . FalhaAuditoria de acesso ao serviço de diretório . FalhaAuditoria de eventos de sistema Sucesso. Instalar os últimos patches de segurança disponíveis pelo fabricante.

143 Segurança Lógica .Firewall Controle 1 2 3 4 5 6 7 8 9 10 Os "updates" e "patches" estão atualizados? A auditoria do firewall está habilitada? Os logs do equipamento são gravados em um servidor de log? É realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manutenção periódica? Existe firewall reserva em caso de quebra ? Existe uma política de verificação periódica das políticas configuradas? É feito backup das configurações do equipamento cada vez que são feitas alterações no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall é feito através do protocolo SSH? O acesso ao equipamento é de acesso exclusivo aos administradores da rede? (Nenhum estagiário.a instalação de IDS/IPS de rede. Habilitar auditoria de firewall Habilitar a gravação dos logs no servidor Auditar logs do firewall Contratar serviço de manutenção periódica para firewall Providenciar firewall de reserva Formalizar políticas de verificação períodica das configurações do firewall Implementar políticas de backup para configuração do firewall Criar na recomendação da nova topologia de rede . 21 Existe acompanhamento periódico da utilização de recursos (capacidade) do equipamento? . técnico ou desenvolvedor tem acesso) Portas não utilizadas são bloqueadas por default? Protocolos não utilizados são bloqueados por default? As regras de acesso são as mais específicas possíveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteção contra IP spoofing? Possui mecansmo de proteção contra ataques do tipo ICMP? Possui mecansmo de proteção contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? Controles a serem Implementados Instalar os últimos patches de segurança disponíveis pelo fabricante. Habilitar o acesso via SSH para conexão remota. 11 Criar procedimentos para acesso ao firewall 12 13 14 15 16 17 18 19 20 Bloquear portas não utilizadas Bloquear protocolos não utilizados Elaborar regras de acesso ao firewall Habilitar logs de sucesso Habilitar logs de falha Habilitar mecanismos de proteção contra IP spoofing Habilitar mecanismos de proteção contra ICMP Habilitar mecanismos de proteção contra Teardrop Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Implementar controle para a monitoração de performance.

Configurar o ACL de administração para máquinas restritas.15 CaracteresTempo de vida máximo da senha 30 DiasTempo de vida mínimo da senha 1 Dias 2 Possui política de contas? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos .Falha Eventos de logon de conta de auditoria .1x? .Sucesso.para assegurar que somente as pessoas autorizadas tenham acesso. Falha Auditoria de acesso ao serviço de diretório .Sucesso.Sucesso. Falha As políticas de logs devem ser configuradas no roteador. Implementar controle para a monitoração de performance. Falha Auditoria de gerenciamento de contas . Instalar os switches em área segura protegidas por controles apropriados de entrada . Projetar e aplicar segurança física nas instalações contra ameaças externas e do meio ambiente. Instalar os últimos patches de segurança disponíveis pelo fabricante.Sucesso.Sucesso.Sucesso. Formalizar procedimentos para o armazenamento e gerenciamento de mídias.AtivadaAplicar histórico de senhas .Sem auditoria Auditoria de eventos de logon . Desabilitar o serviço DHCP Desabilitar o serviço DNS Implementar Suporte a tecnologia 802. Formalizar os contratos de manutenção com as empresas prestadoras de serviços. Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia.144 Segurança Lógica . Falha Auditoria de uso de privilégios .Switch Controle Controles a serem Implementados 1 Possui alguma política de senha? Configurar as políticas de senha do servidor para a seguinte diretiva:A senha deve satisfazer a requisitos de complexidade . Implementar controle de acesso ao local onde estão armazenadas as mídias de backup. Habilitar monitoração de segurança Configurar o Servidor de Syslog externo.1x 3 4 5 6 7 Possui alguma política de log? Possui política de atualização de segurança? Possui restrição de acesso à console de administração? Possui fonte redundante? Os equipamentos possuem manutenção? 8 Existem locais adequados para armazenar os switches? 9 10 11 12 13 14 15 16 Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Possui o serviço DHCP desabilitado? Possui o serviço DNS desabilitado? Possui suporte à tecnologia 802. Falha Auditoria de eventos de sistema . Falha Auditoria de controle de processos .0 senhas memorizadasArmazena senhas usando criptografia reversível para todos usuários no domínio DesativadaComprimento mínimo da senha .Falha Auditoria de alteração de diretivas .

Falha Auditoria de eventos de sistema .Falha Auditoria de alteração de diretivas .Sucesso. Formalizar procedimentos para o armazenamento e gerenciamento de mídias.Falha Eventos de logon de conta de auditoria .Sucesso. Falha Instalar os últimos patches de segurança disponíveis pelo fabricante.Sem auditoria Auditoria de eventos de logon .0 senhas memorizadas Armazena senhas usando criptografia reversível para todos usuários no domínio . Falha 3 Possui alguma política de log? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos .Falha Auditoria de alteração de diretivas .1x está desabilitada? Controles a serem Implementados Habilitar a tecnologia 802.Sucesso.15 Caracteres Tempo de vida máximo da senha 30 Dias Tempo de vida mínimo da senha 1 Dias 2 Possui política de contas? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos . Falha Auditoria de acesso ao serviço de diretório .Sucesso. Falha Auditoria de gerenciamento de contas .Sucesso. Falha Auditoria de uso de privilégios .Desativada Comprimento mínimo da senha .Sucesso. Falha Auditoria de uso de privilégios . Falha Auditoria de controle de processos . Falha Auditoria de controle de processos . Falha Auditoria de eventos de sistema .Sucesso.Sucesso.Switch Controle 17 A funcionalidade 802. 4 5 6 7 Possui política de atualização de segurança? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? . Falha Auditoria de acesso ao serviço de diretório .Ativada Aplicar histórico de senhas .1 x Controle Segurança Lógica .Sucesso.Sucesso.Sem auditoria Auditoria de eventos de logon .Sucesso. Configurar o bloqueio de tela para 1 minuto de inatividade. Falha Auditoria de gerenciamento de contas .Sucesso.Servidor Web Controles a serem Implementados 1 Possui alguma política de senha? Configurar as políticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade . Criar procedimentos para testes de validação periódicos de backup.145 Segurança Lógica .Falha Eventos de logon de conta de auditoria .

Implementar controle de acesso ao local onde estão armazenadas as mídias de backup. Projetar e instalar dispositivos de detecção de incêndio e alarme.a instalação de IDS/IPS de rede. Configurar mecanismos de proteção de segurança na rede. Formalizar procedimentos para o armazenamento e gerenciamento de mídias.Servidor Web Controles a serem Implementados Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Estabelecer requisitos mínimos de hardware para o servidor. Instalar equipamento para controle de temperatura.146 Controle 8 9 10 11 12 13 14 15 16 17 Possui fonte redundante? Possui espelhamento de HDs? Segurança Lógica .Sala de Servidores Os equipamentos possuem manutenção? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Controle 1 Possui controle de acesso? Possui controle de incêndio apropriado? Existe controle de umidade da sala? Possui monitoração CFTV? As filmagens são retidas por mais de 30 dias? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem é autorizado a pegar chaves dos racks? Existe controle para medir a utilização de elétrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que não foram fechados devidamente? Controles a serem Implementados Implementar controle de identificação através de cartões magnéticos nas portas de acesso as salas de reuniões. Configurar mecanismos de proteção de segurança na rede. Implementar controle para a monitoração de performance. Instalar monitoração CFTV Elaborar procedimentos para arquivar as filmagens retidas Estabelecer procedimentos para que os equipamentos sejam protegidos contra falta de energia Implementar controle formal de solicitação e utilização das chaves dos racks Implementar controle formal de autorização para a utilização das chaves dos racks Instalar equipamento para medir a utilização elétrica por rack Elaborar procedimentos formais para a limpeza das salas Instalar dispositivo para avisar quando o Rack não foi fechado 2 3 4 5 6 7 8 9 10 11 . Criar na recomendação da nova topologia de rede . Formalizar os contratos de manutenção com as empresas prestadoras de serviços. Segurança Física . Configurar o Servidor de Syslog externo.

0 senhas memorizadas Armazena senhas usando criptografia reversível para todos usuários no domínio .Ativada Aplicar histórico de senhas .147 Segurança Administrativa . uma diretriz para participação do presidente no comite de segurança 2 3 4 5 6 7 8 9 10 Segurança Lógica .Desativada Comprimento mínimo da senha . Definir política de senha Criptografar dispositivos removiveis Definir política de plano de continuidade de negócio Conscientizar sobre a importância de participar da divulgação de campanhas de segurança Criar na PSI. uma diretriz para aplicação da segurança da informação alinhada aos negócios da empresa Criar um comite de Segurança da Informação Criar na PSI.15 Caracteres Tempo de vida máximo da senha 30 Dias Tempo de vida mínimo da senha 1 Dias . Definir na PSI diretriz onde seja definida o comportamento do usuário e as punições para o não cumprimento. uma diretriz para aplicação da segurança da informação alinhada aos negócios da empresa Criar na PSI.Presidente Controle 1 O presidente participa de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma política de continuidade de negócios? Ajuda na divulgação da segurança da informação? A segurança da informação é considerada como um pré-requisito antes ou durante a estratégia de negócio e planejamento das atividades? A segurança da informação faz parte dos ciclos do negócio? Existe comite de segurança? Participa do comite de segurança? Controles a serem Implementados Desenvolver treinamento de segurança para os Presidentes.Notebook Controle Controles a serem Implementados 1 Possui política de senha configurada? Configurar as políticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade .

148 Segurança Lógica . 4 5 6 7 8 9 10 11 12 Possui política de atualização de segurança? Possui política para bloqueio de tela? Possui criptografia de disco interno? Possui senha de BIOS configurada? Os equipamentos possuem manutenção? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? 13 Possuem política de utilização dos equipamentos? .Falha Auditoria de alteração de diretivas . FalhaAuditoria de eventos de sistema Sucesso. FalhaAuditoria de gerenciamento de contas . FalhaAuditoria de acesso ao serviço de diretório . Falha Auditoria de eventos de sistema .Sucesso.a instalação de IDS/IPS de rede. Criar na recomendação da nova topologia de rede .Notebook Controle Controles a serem Implementados 2 Possui política de contas? Configurar as políticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso.FalhaAuditoria de alteração de diretivas Sucesso.Sem auditoria Auditoria de eventos de logon . Elaborar políticas de controle. Falha Instalar os últimos patches de segurança disponíveis pelo fabricante.Falha Eventos de logon de conta de auditoria . Falha Auditoria de controle de processos .prevenção e recuperação de códigos maliciosos. Criar procedimentos formais para criptografar o disco interno Criar procedimentos formais para setar a senha da Bios.Sucesso. diretriz para utilização dos equipamentos de tecnologia da informação e comunicação. Configurar mecanismos de proteção de segurança na rede.Sucesso. Falha Auditoria de acesso ao serviço de diretório .FalhaEventos de logon de conta de auditoria . Falha Auditoria de gerenciamento de contas .detecção.Sucesso. FalhaAuditoria de uso de privilégios .Sucesso. Falha 3 Possui política de log configurada? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos .Sucesso. Configurar mecanismos de proteção de segurança na rede.Sucesso. FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso. Configurar o bloqueio de tela para 1 minuto de inatividade. Falha Auditoria de uso de privilégios . Incluir na PSI.Sucesso. atualização. Formalizar os contratos de manutenção com as empresas prestadoras de serviços.

diretriz obrigando os diretores e gerentes a participar dos treinamentos. Monitorar a rede para identificar acessos.Usuários Controles a serem Implementados Possuem conhecimentos da política de segurança Realizar divulgação das politicas de segurança aplicada no ambiente? aplicadas no ambiente. Definir procedimentos para instalação e configuração do anti-malware. Realizar campanhas de conscientização aos usuários ressaltando as penalidades aplicadas.149 Controle 1 2 Segurança Administrativa . Definir política de senha Criptografar dispositivos removiveis 3 4 5 Segurança Lógica .Servidor de Impressão Controle Controles a serem Implementados 1 Possui alguma política de senha? Configurar as políticas de senha do servidor para a seguinte diretiva: A senha deve satisfazer a requisitos de complexidade . Incluir na PSI . Comunicar os incidentes de segurança Criptografar dispositivos removiveis 3 4 5 Há controles para instalação de software pirata? Há monitoramento na rede para identificar acessos não permitidos? Os recursos anti-malware estão configurados de modo que os usuários não possam desabilita-los? 6 7 8 Os incidentes de segurança são comunicados pelos usuários? Utilizam criptografia em dispositivos removiveis? Controle 1 2 Segurança Administrativa .15 Caracteres Tempo de vida máximo da senha 30 Dias Tempo de vida mínimo da senha 1 Dias . Realizar campanhas de conscientização aos usuários ressaltando as penalidades aplicadas.Desativada Comprimento mínimo da senha .Diretores e Gerentes Controles a serem Implementados Possuem conhecimentos da política de segurança aplicada no ambiente? Participam de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? Realizar divulgação das politicas de segurança aplicadas no ambiente.0 senhas memorizadas Armazena senhas usando criptografia reversível para todos usuários no domínio . diretriz obrigando os usuários a participar dos treinamentos.Ativada Aplicar histórico de senhas . Realizar campanhas de conscientização aos usuários ressaltando as penalidades aplicadas. Participam de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Incluir na PSI .

Sucesso.Sucesso. Falha Instalar os últimos patches de segurança disponíveis pelo fabricante. FalhaAuditoria de eventos de sistema Sucesso.Falha Eventos de logon de conta de auditoria . Falha Auditoria de eventos de sistema . Desabilitar o serviço SNMP 4 Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui restrição de acesso à console de administração? Os equipamentos possuem manutenção? Existem locais adequados para armazenamento das impressoras? Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? Possui o serviço SNMP desabilitado? 5 6 7 8 9 10 11 12 . Falha Auditoria de controle de processos .Sucesso. Definir local adequado para o armazenado das impressoras Habilitar configuração de segurança Configurar o Servidor de Syslog externo.Sucesso.Sucesso.Falha Auditoria de alteração de diretivas . Criar procedimentos formalizados para a instalação e configuração dos sistemas Operacionais. Falha Auditoria de acesso ao serviço de diretório .FalhaEventos de logon de conta de auditoria .FalhaAuditoria de alteração de diretivas Sucesso. FalhaAuditoria de acesso ao serviço de diretório . Formalizar os contratos de manutenção com as empresas prestadoras de serviços.150 Segurança Lógica .Sem auditoria Auditoria de eventos de logon . FalhaAuditoria de gerenciamento de contas . Falha Auditoria de uso de privilégios .Sucesso.Sucesso. Implementar controle para a monitoração de performance. FalhaAuditoria de uso de privilégios . Configurar o ACL de administração para máquinas restritas.Servidor de Impressão Controle Controles a serem Implementados 2 Possui política de contas? Configurar as políticas de logs do servidor para a seguinte diretiva:Auditoria de acesso a objetos Sucesso. Falha Auditoria de gerenciamento de contas . FalhaAuditoria de controle de processos Sem auditoriaAuditoria de eventos de logon Sucesso. Falha 3 Possui alguma política de log? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos .Sucesso.

Sucesso. Falha Auditoria de acesso ao serviço de diretório . Criar procedimentos formais para criptografar o disco interno Configurar senha de acesso para o dispositivo 4 5 6 7 Possui política de atualização de patches? Possui política para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo? . Falha Auditoria de controle de processos . Falha Auditoria de uso de privilégios .Sucesso.Sucesso. Falha Auditoria de uso de privilégios . Falha Auditoria de acesso ao serviço de diretório .Sucesso.Sucesso. Configurar o bloqueio de tela para 1 minuto de inatividade.0 senhas memorizadasArmazena senhas usando criptografia reversível para todos usuários no domínio DesativadaComprimento mínimo da senha .Sucesso.Sem auditoria Auditoria de eventos de logon . Falha Auditoria de gerenciamento de contas . Falha Auditoria de eventos de sistema .Falha Auditoria de alteração de diretivas . Falha Instalar os últimos patches de segurança disponíveis pelo fabricante. Falha 3 Possui política de log? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos .151 Segurança Lógica .Falha Auditoria de alteração de diretivas .Sucesso.Sucesso.Sucesso.Sucesso.Falha Eventos de logon de conta de auditoria .Sucesso. Falha Auditoria de gerenciamento de contas .Falha Eventos de logon de conta de auditoria . Falha Auditoria de controle de processos .15 CaracteresTempo de vida máximo da senha 30 DiasTempo de vida mínimo da senha 1 Dias 2 Possui política de contas? Configurar as políticas de logs do servidor para a seguinte diretiva: Auditoria de acesso a objetos . Falha Auditoria de eventos de sistema .Sucesso.Sem auditoria Auditoria de eventos de logon .AtivadaAplicar histórico de senhas .Smartphone Controle Controles a serem Implementados 1 Possui política de senha? Configurar as políticas de senha do servidor para a seguinte diretiva:A senha deve satisfazer a requisitos de complexidade .

Elevadores Controle 1 2 3 4 Possui câmera de vigilância? Possui telefone para comunicação com o porteiro em caso de emergência? Possui controle de temperatura? Possui geradores e estabilizador de tensão para caso de falta de energia? Controles a serem Implementados Instalar sistemas CFTV Instalar telefones para a comunicação com a portaria Instalar controle de temperatura Instalar geradores de energia elétrica para os elevadores Segurança Física .Sala de Reunião Controle 1 2 3 4 Possui controle de acesso? Possui controle de utilização? Possui acústica? Possui algum controle para a identificação dos participantes? Controles a serem Implementados Utilizar sistemas de cartão magnético para acesso as salas de reunião Implementar calendário compartilhado para utilização da sala Implementar sistema de acústica Instalar cortina Segurança Física .Ar Condicionado Controle 1 Possui manutenção periódica? Controles a serem Implementados Elaborar contrato de manutenção Tabela 14 .Controles .152 Segurança Física .Prédio Controle 1 2 3 4 5 Possui estabilizadores de tensão? Possui sistema para identificação de funcionários e visitantes para acesso? Possui plano de abandono de área em caso de desastres? Possui controle de acesso nos andares? Possui escada de emergência? Controles a serem Implementados Instalar estabilizadores de tensão na rede elétrica Utilizar catracas e cartões magnéticos para identificação dos funcionários e visitantes Criar plano de abandono de prédio junto à PCN Utilizar sistemas de cartão magnético para acesso aos andares Instalar escadas de emergência Segurança Física .

Event Log .153 Projetos Imediatos – Arquitetura Lógica Para iniciarmos as atividades. para aplicação das configurações de segurança de acordo com modelo abaixo: [version] signature="$CHICAGO$" Revision=1 [System Access] MinimumPasswordAge = 1 MaximumPasswordAge = 30 MinimumPasswordLength = 15 PasswordComplexity = 1 PasswordHistorySize = 24 LockoutBadCount = 5 ResetLockoutCount = 1440 LockoutDuration = 1440 ForceLogoffWhenHourExpire = 1 ClearTextPassword = 0 LSAAnonymousNameLookup = 0 EnableGuestAccount = 0 . é necessário: Implementar Controles de Segurança Lógica nos Servidores:  Criar uma unidade organizacional no active directory com o nome de “Seguranca Servidores”.---------------------------------------------------------------------.---------------------------------------------------------------[System Log] MaximumLogSize = 81920 RestrictGuestAccess = 1 [Security Log] MaximumLogSize = 81920 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Application Log] MaximumLogSize = 81920 RestrictGuestAccess = 1 .---------------------------------------------------------------.---------------------------------------------------------------------[Event Audit] AuditSystemEvents = 0 AuditLogonEvents = 2 AuditObjectAccess = 0 AuditPrivilegeUse = 2 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 0 AuditDSAccess = 2 AuditAccountLogon = 2 . Local Policies\Audit Policy .Log Settings .

154 .1 MACHINE\System\CurrentControlSet\Control\Lsa\SubmitControl=4.0 MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4.1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect= 4.1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySi gnature=4.0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge =4.1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4.0 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlain TextPassword=4.1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySi gnature=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4.0 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLog Off=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4. instalar e configurar o servidor de backup Criar uma unidade organizacional no active directory com o nome de “Seguranca AD”.0 MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4.1 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSec uritySignature=4. Local Policies\SecurityOptions . para aplicação das configurações de segurança de acordo com modelo abaixo: [version] signature="$CHICAGO$" Revision=1 [System Access] MinimumPasswordAge = 1 MaximumPasswordAge = 45 MinimumPasswordLength = 8 PasswordComplexity = 1 PasswordHistorySize = 24 .0 MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4.1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4.4 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4.15 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecur itySignature=4.0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChan ge=4.30     Instalar e configurar na rede um servidor de atualizações de segurança (WSUS).1 MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4. Adquirir.---------------------------------------------------------------------.---------------------------------------------------------------------[Registry Values] MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3. Instalar e configurar um servidor de centralização de logs (syslog) externo.

4 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4.---------------------------------------------------------------------[Event Audit] AuditSystemEvents = 0 AuditLogonEvents = 2 AuditObjectAccess = 0 AuditPrivilegeUse = 2 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 0 AuditDSAccess = 2 AuditAccountLogon = 2 .1 MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4.1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySi gnature=4.---------------------------------------------------------------[System Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Security Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Application Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 .0 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4. Local Policies\Audit Policy .0 MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4.---------------------------------------------------------------------.---------------------------------------------------------------.Log Settings .0 MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4.0 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLog Off=4.0 MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4.1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySi gnature=4.Event Log .1 MACHINE\System\CurrentControlSet\Control\Lsa\SubmitControl=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3.---------------------------------------------------------------------[Registry Values] MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects=4.1 .155 LockoutBadCount = 5 ResetLockoutCount = 1440 LockoutDuration = 1440 ForceLogoffWhenHourExpire = 1 ClearTextPassword = 0 LSAAnonymousNameLookup = 0 EnableGuestAccount = 0 .0 MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4.1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail=4.---------------------------------------------------------------------. Local Policies\SecurityOptions .1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4.

---------------------------------------------------------------.Event Log .1 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSec uritySignature=4. para aplicação das configurações de segurança de acordo com modelo abaixo: [version] signature="$CHICAGO$" Revision=1 [System Access] MinimumPasswordAge = 1 MaximumPasswordAge = 45 MinimumPasswordLength = 8 PasswordComplexity = 1 PasswordHistorySize = 24 LockoutBadCount = 5 ResetLockoutCount = 1440 LockoutDuration = 1440 ForceLogoffWhenHourExpire = 1 ClearTextPassword = 0 LSAAnonymousNameLookup = 0 EnableGuestAccount = 0 .---------------------------------------------------------------[System Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Security Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 [Application Log] MaximumLogSize = 101024 AuditLogRetentionPeriod = 0 RestrictGuestAccess = 1 .0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge =4.Log Settings .0 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlain TextPassword=4.156 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect= 4.15 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecur itySignature=4.---------------------------------------------------------------------- .0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChan ge=4. Local Policies\Audit Policy .30 Implementar Controles de Segurança Lógica nas Estações:  Criar uma unidade organizacional no active directory com o nome de “Seguranca Estacoes”.---------------------------------------------------------------------.

0 MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4.30 Servidor de E-mail Criticidade: Muito Alta Projeto: Imediato  Adicionar a conta de máquina do servidor de arquivos.4 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3.0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge =4.1 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSec uritySignature=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail=4.---------------------------------------------------------------------.1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySi gnature=4.1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4.157 [Event Audit] AuditSystemEvents = 0 AuditLogonEvents = 2 AuditObjectAccess = 0 AuditPrivilegeUse = 2 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 0 AuditDSAccess = 2 AuditAccountLogon = 2 .1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySi gnature=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4.1 MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4.1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect= 4. Local Policies\SecurityOptions .---------------------------------------------------------------------[Registry Values] MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects=4. .15 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecur itySignature=4.0 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLog Off=4.1 MACHINE\System\CurrentControlSet\Control\Lsa\SubmitControl=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4.1 MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4.0 MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4. na unidade organizacional “Segurança Servidores”.0 MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlain TextPassword=4.0 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChan ge=4.

microsoft. click com botão direito / properties / Access / Relay Restrictions / Relay /.  Atualizar o sistema operacional através do servidor WSUS para minimizar o risco de ataque por negação de serviço e/ou acesso indevido. Realizar correção do ambiente físico conforme solução da analise física.com/kb/322679/pt-br Configurar limite para tamanho de arquivo a ser recebido de acordo com: http://support. regardlless on the list above – Desmarcar a opção.microsoft.com/kb/322679/pt-br Servidor de Arquivos Criticidade: Alta Projeto: Curto Prazo  Adicionar a conta de máquina do servidor de arquivos. Allow all computers which sucessfully authenticate to relay.   Agendar todos os dias o inicio do backup para as 23 horas através do software Arcserver. .   Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog.microsoft. na unidade organizacional “Seguranca Servidores”.   Configurar limite para tamanho de caixa de e-mail para usuário de acordo com: http://support.com/kb/322679/pt-br  Configurar limite para tamanho de arquivo a ser enviado de acordo com: http://support.158  Atualizar o sistema operacional através do servidor WSUS para minimizar o risco de ataque por negação de serviço e/ou acesso indevido. Configurar em System Manager / Administrative Groups / Mailserver/ protocol / smtp / Default SMTP Virtual Server. corrigindo assim problemas referentes ao ambiente e controle de acesso.

Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog. na unidade organizacional “Seguranca AD”.    Agendar todos os dias o inicio do backup para as 20:00 horas através do software Arcserver. Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog. Servidor DNS Criticidade: Alta Projeto: Curto Prazo . os usuários não terão acesso a rede e consequentemente não conseguirão efetuar sua atividades.  Revisar e atualizar as regras de acesso.   Agendar todos os dias o inicio do backup para as 23:59 horas através do software Arcserver. Atualizar o sistema operacional através do servidor WSUS para minimizar o risco de ataque por negação de serviço e/ou acesso indevido. Adquirir mais um computador para atuar como backup desse servidor. pois sem redundância caso haja alguma falha que deixe esse serviço indisponível. Servidor de serviço de diretório Criticidade: Alta Projeto: Curto Prazo   Adicionar a conta de máquina do servidor de arquivos.159  Atualizar o sistema operacional através do servidor WSUS para minimizar o risco de ataque por negação de serviço e/ou acesso indevido.

. Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog.microsoft. na unidade organizacional “Seguranca Servidores”.com/pt-br/library/cc773370.aspx Servidor de impressão Criticidade: Alta Projeto: Curto Prazo   Adicionar a conta de máquina do servidor de arquivos.     Agendar todos os dias o inicio do backup para as 19:00 horas através do software Arcserver.aspx Configurar a recursividade habilitada: http://technet. de acordo com: http://technet. Atualizar o sistema operacional através do servidor WSUS para minimizar o risco de ataque por negação de serviço e/ou acesso indevido.   Agendar todos os dias o inicio do backup para as 19:00 horas através do software Arcserver.160  Atualizar o sistema operacional através do servidor WSUS para minimizar o risco de ataque por negação de serviço e/ou acesso indevido. Configurar um cliente para enviar os logs do sistema operacional do servidor para o syslog.com/pt-br/library/cc773370.microsoft. na unidade organizacional “Seguranca Servidores”. Servidor de banco de dados Criticidade: Alta Projeto: Curto Prazo  Adicionar a conta de máquina do servidor de arquivos. Configurar transferência de zona para restrita.

    Agendar todos os dias o inicio do backup para as 19:00 horas através do software Arcserver. Atualizar o sistema operacional através do servidor WSUS para minimizar o risco de ataque por negação de serviço e/ou acesso indevido. devido a extrema importância desse servidor para a empresa isso se faz necessário.     Desativar serviços do SQL Server não utilizados Aplicar diretivas de senhas de alta segurança. Configurar um cliente para para enviar os logs do sistema operacional do servidor para o syslog. pois informações de vital importância para o negocio estão armazenadas nele e sua indisponibilidade trairia enormes prejuízos financeiros. estabelecer tamanho mínimo e data de expiração Restringir logons remotos. Excluir usuários que não são pertinentes de poderes administrativos no banco de dados. . Verificar permissões nos diretórios de instalação do SQL Server. na unidade organizacional “Seguranca Servidores”. Configurar política de senha para usuários do banco de dados: Tempo de vida máxima de senha = 45 Tamanho mínimo de senha= 8 Complexidade de senha = Habilitar  Adquirir mais um servidor de forma que o mesmo funcione como backup do servidor de bando de dados. Servidor Web Criticidade: Alta Projeto: Curto Prazo   Adicionar a conta de máquina do servidor de arquivos.161  Atualizar o sistema operacional através do servidor WSUS para minimizar o risco de ataque por negação de serviço e/ou acesso indevido.

Configurar política de senha para usuários do banco de dados: Tempo de vida máxima de senha = 45 Tamanho mínimo de senha= 8 Complexidade de senha = Habilitar . Desabilitar o recurso Front Page extensions.com. Configurar um cliente para enviar os logs do sistema operacional do servidor para o syslog.com/kb/241520/pt-br Servidor ERP Criticidade: Alta Projeto: Curto Prazo   Adicionar a conta de máquina do servidor de arquivos. Configurar um cliente para enviar os logs do sistema operacional do servidor para o syslog.microsoft.com/kb/298158 Configurar o banner do serviço IIS. de acordo com: http://support.162     Agendar todos os dias o inicio do backup para as 19:00 horas através do software Arcserver. Excluir usuários que não são pertinentes de poderes administrativos no banco de dados.microsoft.br/modules. na unidade organizacional “Seguranca Servidores”. de acordo com: http://support.php?name=Content&pa= showpage&pid=15  Desabilitar o recurso Webdav. Atualizar o sistema operacional através do servidor WSUS para minimizar o risco de ataque por negação de serviço e/ou acesso indevido.securityexperts.     Agendar todos os dias o inicio do backup para as 19:00 horas através do software Arcserver. de acordo com: http://www.

Estações Criticidade: Alta Projeto: Médio Prazo   Adicionar a conta de máquina do servidor de arquivos. Notebooks Criticidade: Alta Projeto: Imediato   Adicionar a conta de máquina do servidor de arquivos. pois informações de vital importância para o negocio estão armazenadas nele e sua indisponibilidade trairia enormes prejuízos financeiros.   Adquirir software de criptografia de disco. Adicionar a conta de máquina do servidor de arquivos. devido a extrema importância desse servidor para a empresa isso se faz necessário. . na unidade organizacional “Seguranca Estacoes”. na unidade organizacional “Seguranca Servidores”.163  Adquirir mais um servidor de forma que o mesmo funcione como backup do servidor de bando de dados. Atualizar o sistema operacional através das estações WSUS para minimizar o risco de ataque por negação de serviço e/ou acesso indevido. instalar e configurar de acordo com testes realizados em laboratório. Atualizar o sistema operacional através das estações WSUS para minimizar o risco de ataque por negação de serviço e/ou acesso indevido. na unidade organizacional “Seguranca Estacoes”.  Adquirir firewall pessoal para as estações. instalar e configurar de acordo com testes realizados em laboratório.

com o objetivo de criar segmentos de rede com maior largura de banda disponível. Configurar política de senha para usuários do banco de dados: Tempo de vida máxima de senha = 45 Tamanho mínimo de senha= 8 Complexidade de senha = Habilitar  Restringir os IPs para gerencia de acordo com: 192.1.168. diminuindo assim também por consequencia as chances de roubo de equipamentos.1.110 192.1x. Renomear os usuários administrativos.     Configurar a tecnologia em todas as portas dos switches 802. Switches Criticidade: Muito Alta Projeto: Médio Prazo  Realizar correção do ambiente físico conforme solução da análise física corrigindo assim problemas referentes ao ambiente e controle de acesso.168.   Adquirir mais 2 switches para backup.164   Configurar senha de BIOS para acesso ao notebook.120 . Desabilitar a gerência via HTTP. Adquirir firewall pessoal para as estações. instalar e configurar de acordo com testes realizados em laboratório. configurar vlans de acordo com o tráfego ou por departamentos de trabalho.

1. Renomear os usuários administrativos. Habilitar auditoria de firewall Habilitar a gravação dos logs no servidor Auditar logs do firewall Contratar serviço de manutenção periódica para firewall . Adquirir mais um roteador de para operar em redundância e balanceamento nas comunicações da instituição.110 192.168.1.168. Configurar política de senha para usuários do banco de dados: Tempo de vida máxima de senha = 45 Tamanho mínimo de senha= 8 Complexidade de senha = Habilitar  Restringir os IPs para gerencia de acordo com: 192.120 Firewall Criticidade: Muito Alta Projeto: Imediato      Instalar os últimos patches de segurança disponíveis pelo fabricante.165 Roteador Criticidade: Muito Alta Projeto: Imediato    Adquirir mais um link de acesso a internet provendo assim redundância e agilidade nas comunicações da instituição Atualizar IOF. Implementar access-list para bloquear trafego desnecessário e restringir acesso não autorizado fornecendo um maior nível de segurança para os servidos da rede    Desabilitar a gerência via HTTP.

Controle de identificação de funcionários ou visitante realizado pelo Condomínio e empresa. Criar na recomendação da nova topologia de rede . .a instalação de IDS/IPS de rede Criar procedimentos para acesso ao firewall Bloquear portas não utilizadas Elaborar regras de acesso ao firewall Habilitar logs de sucesso Habilitar logs de falha Habilitar mecanismos de proteção contra IP spoofing Habilitar mecanismos de proteção contra ICMP Estabelecer procedimentos para que os equipamentos sejam protegidos conra falta de energia Implementar controle para a monitoração de performance Projetos Imediatos – Arquitetura Física Prédio Criticidade: Alta Projeto: Curto prazo    Adquirir e instalar 2 estabilizadores de tensão na rede elétrica da empresa.166             Providenciar firewall de reserva Formalizar políticas de verificação períodica das configurações do firewall. Adquirir e instalar 1 gerador de energia com capacidade para suprir carga durante 30 minutos.

167  Adquirir cofre para armazenagem das mídias no local e contratar empresa tercerizada para armazenamento das mídias em local e remoto. A existência de escadas de emergência é responsabilidade do Condominio. para que os dados possam ser recuperados caso haja algum problema que impossibilite o acesso a empresa. A existência de extintores de incêndio ou splinkers é de responsabilidade do Condomínio. Elevadores Criticidade: Alta Projeto: Curto Prazo  Os controles dos elevadores são de responsabilidade do Condomínio. A existência de controles realizados por CFTV é realizado pelo Condomínio e empresa. A existência de um segurança é responsabilidade do Condomínio. O condomínio fará manutenções periódicas nos elevadores. fora da empresa. A existência de portas e janelas antifogo é responsabilidade do Condominio.        A existência de um porteiro é responsabilidade do Condomínio. Adquirir e instalar identificadores eletrônicos nas portas de acesso ao ambiente interno da empresa. . O condomínio fará manutenções periódicas nos elevadores Ar-condicionado Criticidade: Baixa Projeto: Imediato  O controle do ar condicionado é de responsabilidade do Condomínio.

. A sala de servidores deve possuir sistema de monitoração através de CFTV.168 Salas de reunião Criticidade: Médio Projeto: Médio Prazo     A utilização da sala de reunião deve ser controlada pelo RH. A sala de reunião deve possuir um sistema de isolamento acústico. com gravação 24 horas. A sala de reunião deve passar por inspeções mensais com o objetivo de identificar agentes que propiciam o vazamento de informações. com a finalidade de prevenir a instalação de equipamentos não autorizados. A sala de servidores deve possuir um sistema de monitoração de temperatura adequado e dispositivo de alarme. A sala de reunião deve possuir meios para inibir a visualização dos participantes. A sala de servidores deve possuir extintores e dispositivo de alarme apropriados para utilização em casa de incêndio. Salas de servidores Criticidade: Muito Alta Projeto: Imediato      A sala de servidores deve possuir controle de acesso físico através de dispositivo de identificação. Deve haver chaves nos racks de equipamentos de informática.

vírus. fonte fidedigna. . e-mail bombing).169 CAPITULO V O capitulo em epígrafe foi escrito pelo Security Office após a análise de risco tem por objetivo apresentar a Política de Segurança da Informação para o escopo deste SGSI. 5. Código Malicioso Instruções introduzidas intencionalmente num sistema com a finalidade de quebrar de alguma maneira a segurança do mesmo (ex. ferramentas de denial of service. Através deste documento são apresentados os objetivos de segurança da informação e como esta deve ser conduzida na Candido Carvalho Vieira Associados. Disponibilidade Característica da informação que se relaciona diretamente à garantia de acesso por parte daqueles que a necessitam para o desempenho de suas atividades. Confidencialidade Propriedade de certas informações que não podem ser disponibilizadas ou divulgadas sem autorização prévia do responsável por aquela informação. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Glossário Autenticidade Garantia da legitimidade da origem da informação. provendo direção e apoio aos colaboradores. de autoridade incontestável. Se divulgadas indevidamente podem trazer danos às pessoas ou entidades.: cavalo de Tróia.

A informação está íntegra se esta não sofreu qualquer interferência de processos ilícitos. designado para viajar de máquina em máquina.170 Informação classificada Informação cuja importância. Interoperabilidade É a habilidade que um sistema ou um produto possui para trabalhar com outros sistemas ou produtos sem esforço adicional por parte do cliente. elaborada pela Associação Brasileira de Normas Técnicas (ABNT). prioridade e o nível de proteção adequado foram identificados e recebem o tratamento compatível com o seu valor. muitas vezes destrutivo (não necessariamente). NBR ISO/IEC 17799 Código de prática para a gestão de segurança da informação. . Integridade Condição na qual o conteúdo da informação se apresenta fiel ao seu estado original. infectando cada uma ao longo de sua jornada. Carvalho e Vieira Associados presente na unidade de um Órgão do Estado Vírus É um programa de computador. Ponto de acesso É a porta de comunicação para Candido. Legalidade Estado legal da informação em conformidade com os preceitos da legislação em vigor.

voz ou dados à distância ou remotamente. todo colaborador assume a devida responsabilidade pelo cumprimento das orientações deste documento. portanto. Uma aplicação eficaz da política em questão visa. assinado no momento da contratação de todo o funcionário da empresa. mas enxerga na PSI uma forma de minimizar riscos e garantir a solidez da empresa. . através de documentos de orientação específicos. e que faz referência a esta política. sem exceção. Esta política tem o comprometimento e o apoio da alta direção desta organização e deve ser cumprida. quando estes estiverem dentro do perímetro da empresa e/ou utilizando os recursos de informação. sejam eles funcionários diretos. informações sobre o uso correto. configuração de servidores e computadores pessoais de funcionários e prestadores de serviço. Ao concordar com os termos de responsabilidade presentes no documento de Uso de Ferramentas Corporativa. em todos os seus aspectos. A presente política de segurança da informação deve ser cumprida por todos os usuários que utilizam a informação da organização e/ou seus recursos de voz e dados. contidos neste documento. A alta diretoria não só apóia. terceirizados e/ou subcontratados. Ela é válida e se sobrepõe à políticas de funcionários externos à corporação ou afins. estagiários. limitações e responsabilidade sobre as ferramentas oferecidas. As diretrizes e normas contidas neste documento estão disponibilizadas e publicadas nos manuais internos contidos na intranet e em publicações de consulta pública disponíveis em cada diretoria. contribuir para o uso correto e responsável de recursos corporativos de comunicação de dados e voz da empresa.171 Introdução Esta política de segurança da informação (PSI) visa estabelecer normas para o uso e manutenção da base computacional interna da empresa.

este documento visa aumentar a percepção de riscos e ameaças envolvidas no mau uso ou uso indevido dos recursos de informação disponibilizados pela empresa e diminuir os incidentes relacionados a estes eventos. Servidores de e-mail. através da conscientização dos usuários/mantenedores dos recursos. Servidores de arquivos. .172 Objetivo Este documento destina-se a orientar e determinar condições e/ou parâmetros para o uso correto e autorizado dos recursos de informação. As diretrizes e normas contidas neste documento tratam basicamente dos seguintes aspectos:     Guia geral de configuração Requisitos mínimos de segurança aplicados e compatibilidade de dispositivos Regras de monitoramento e auditoria de eventos e logs Política de backup e armazenamento de medias de dados Abrangência A abrangência desta norma é a todos os colaboradores. Processos. Servidores de acesso remoto. se estendendo a terceiros e demais prestadores de serviços. Servidores de aplicação. Pessoas . Como principal benefício. voz e dados disponibilizados pela empresa. Esta política abrange os recursos de informação listados abaixo:        Computadores pessoais (desktops e notebooks).

A execução de software malicioso ou sem licença é proibida dentro da organização. Qualquer forma de acesso ilícito será punida. . Todo sistema deve seguir a norma de autenticação para evitar fraudes. acatando e respeitando as normas estabelecidas. A utilização para fins pessoais é proibida. Todos os procedimentos internos de trabalho devem ser seguidos rigorosamente pelos colaboradores. devendo os manuais técnicos e manuais de procedimentos a serem seguidos rigorosamente. referentes ao negócio ou aos clientes da organização. A utilização de dispositivos móveis só é permitida mediante autorização pela área técnica. O acesso às dependências da empresa ou áreas restritas só pode ser feito mediante autorização de acesso e porte do crachá de identificação. Os recursos tecnológicos devem ser utilizados para fins de trabalho. O uso dos sistemas internos e seus componentes são restritos aos colaboradores que possuem o privilégio de acesso. Todos os colaboradores devem participar dos treinamentos e simulações realizadas. É proibida a divulgação de informações a terceiros por colaboradores. Aos colaboradores e prestadores de serviço não é dado o direito de alegação de desconhecimento da PSI.173 Diretrizes Corporativas Todos os colaboradores devem contribuir para a segurança da organização.

de acordo com a infração. meios e formas operativas para a segurança no contexto da organização. Carvalho e Vieira Associados. reduzindo a exposição ao risco e gerando também a oportunidade de novos negócios. Normas Gerais para Usuários Objetivos Estabelecer regras/padrões necessárias para a garantia da segurança dos bens de informação e patrimoniais. segurança de dados e registros. de bens e instalações da organização. de forma a garantir a continuidade dos negócios. em qualquer nível hierárquico. assegurando através de suas técnicas conhecimentos e sistemas os meios de proteção com foco na continuidade do negócio. segurança documental e outras formas setoriais voltadas para o escopo central da segurança organizacional. segurança do patrimônio. estão sujeitos às penalidades cabíveis. proteção contra incêndios.174 A ocorrência de qualquer incidente de segurança deve ser comunicada ao Security Officer imediatamente. . segurança física. provendo parâmetros para uma gestão corporativa de segurança. segurança ocupacional. bem como a integridade física dos colaboradores da empresa Candido. Os bens de informação devem ser protegidos dos diversos tipos de ameaça. tais como a segurança eletrônica. com atuação preventiva e/ou reativa. Estes modos interligam-se ou acoplam-se na “Política de Segurança da Organização” que define estruturas. Possui subsistemas. Segurança Organizacional Tem por objetivo gerar a proteção pessoal. segurança de instalações. vigilância. Todos os colaboradores.

o gestor da área e o Departamento de Tecnologia devem ser comunicados imediatamente. ficando o gestor responsável pelo total cumprimento. O treinamento ocorre semestralmente para todos os colaboradores e para os novos colaboradores quando ingressam na empresa. conforme instruções dos comunicados internos e treinamentos periódicos. Todo colaborador é instruído através de comunicados. . do portal disponível na rede sobre a importância do cumprimento da PSI e o impacto caso não seja seguida.175 Segurança da Informação pelos Colaboradores É de responsabilidade dos colaboradores manterem sigilo das informações de sua competência e/ou conhecimento. a divulgação e/ou compartilhamento de informações privilegiadas que o colaborador tenha para o desempenho de sua função. Após o treinamento. Estes documentos ficam em poder do Departamento de Recursos Humanos na pasta do colaborador. Nestes treinamentos são abordados todos os temas pertinentes à Segurança da Informação. Em caso de não cumprimento da PSI ou a detecção de alguma falha. inclusive fora do perímetro corporativo. entre eles:    Aspectos de Engenharia Social Compartilhamento de senhas Riscos às pessoas e/ou ao negócio. todos os funcionários assinam o termo de participação e aceitação da política. Fica vedada. Para cada departamento são definidas as responsabilidades. estando elas em qualquer meio. A periodicidade para a revisão da Política de Segurança da Informação é anual.

A área onde ficam arquivados os processos físicos também ficou categorizada como área de risco. . com o objetivo de diminuir o risco de uma possível subtração do bem. Quanto à sala dos servidores. Com base nos setores não é permitido o acesso dos colaboradores a áreas que não são pertinentes ao desempenho de sua função. com acesso restrito aos colaboradores do Departamento Jurídico. o acesso é mais restritivo ainda.176 Segurança física As principais entradas do prédio têm agentes de segurança e bloqueios através de catracas com cartão magnético. sendo permitido apenas ao Gerente e Administradores da Rede e de Telefonia. Para os usuários de computadores moveis é indicado o uso de cadeados especiais. A Manutenção Predial e a Brigada de Incêndio têm uma cópia das chaves de acesso ao escritório. O perímetro do prédio é monitorado 24x7 (24h por dia) com 15 câmeras IP (conectadas em rede) que armazenam as imagens por um período de 30 dias. tendo o destinatário a instrução para dirigir-se até a recepção ou delegar o recebimento por alguém de sua confiança. O acesso de entregadores não é permitido aos escritórios. os departamentos foram setorizados para o melhor gerenciamento de acessos. O Departamento de Tecnologia ficou categorizado como área de alto risco e o acesso é permitido apenas aos colaboradores do departamento. A Biblioteca Técnica possui sistema de alarme e em cada exemplar há um código de barra que acionará o alarme sonoro em caso de saída do perímetro permitido.

minúsculas e caracteres especiais (“$”.. por vontade do usuário. podendo trazer problemas de interrupção de serviço ou queda de desempenho das estações de trabalho. .. em mochilas ou malas com almofada interna. Como recomendação sugere-se a utilização de maiúsculas. O tempo mínimo.) e/ou alfabéticas (abc.. o colaborador deve ficar atento a qualquer abordagem e tomar os devidos cuidados para evitar o roubo. Não são recomendadas mochilas com logomarca de computadores que possam chamar a atenção para roubo ou furto. nome do usuário. “%”. Durante viagens e em áreas de grande circulação. para troca de senhas deverá ser de 2 (dois) dias.177 Proteção das Estações de Trabalho e Computadores Móveis Os computadores móveis devem ser transportados no porta-malas. Contas que ficarem inativas por mais de 90 (noventa) dias deverão ser bloqueadas.. O usuário deverá ser forçado a trocar a senha no seu primeiro login. “&”. Antivírus Vírus e suas variações são um grande problema para o mundo corporativo. Contas e Senhas As senhas para usuários finais deverão conter no mínimo 8 (oito) caracteres.).). A conta será bloqueada após a 5ª (quinta) tentativa de login. data de nascimento e etc). Deverá ser evitada a composição de senhas com seqüências numéricas (123.. sendo obrigatório o uso de letras e números. além de senhas de fácil dedução (nome da máquina...

Nestes casos. Os softwares devem ser registrados como ativos da empresa e inseridos na Planilha de Inventário de Softwares. As mídias devem ser armazenadas em lugares seguros e de maneira organizada. Para a facilitação das Instalações. Para softwares que tenham um custo superior a R$ 2. Software Todos os softwares utilizados pelos colaboradores devem ser originais e adquiridos de fornecedores idôneos ou do próprio fabricante. Caso o usuário suspeite do comprometimento de sua senha. isto só poderá ocorrer mediante a confirmação de algumas informações de caráter pessoal do usuário. além da aprovação do Gestor da Área será necessária a aprovação de um Diretor. esta deverá ser modificada imediatamente. a solicitação de reinicialização de conta deverá ser feita através de contato com o Gerente/Diretor/Presidente do departamento. Em casos de extrema necessidade de reinicializar uma senha em sistemas críticos.178 As contas só poderão ser reinicializadas. à área responsável pela administração das contas. por solicitação formal do seu detentor. pasta esta que será de acesso exclusivo aos colaboradores do Help Desk. Para casos considerados críticos. os principais softwares devem ser inseridos na pasta APPS (pasta criada para armazenar os softwares) do servidor de arquivo. o operador deverá retornar a ligação para confirmação desses dados.000.00 (Dois mil reais). . O tipo de licenciamento do sistema operacional deve ser padrão OEM (licença emitida pelo fornecedor do hardware) para a compra de novos computadores.

enquanto perdurar o seu vínculo com a empresa. deve ser utilizada apenas para o desempenho de suas funções. a fim de evitar o recebimento de novas mensagens. Correio Eletrônico Todas as contas de correio eletrônico terão uma titularidade. com direitos de envio/recebimento de mensagens. a critério do titular de Área/Gerência. Carvalho e Vieira Associados deverá ser titular de uma única caixa postal no servidor de correio eletrônico. por serem inerentes às atribuições desses cargos/funções. Todos os acessos são passíveis de auditoria. cabendo sanções disciplinares em casos do não cumprimento das normas. Cada usuário da Candido.179 Aplicações corporativas Todas as aplicações corporativas são passíveis de auditoria e fica responsável o colaborador por qualquer dado inserido. via intranet e internet. incluindo o desligamento. . Diretores e Advogados) e de 100 Mbytes para os demais usuários. excluído ou editado. Em casos que fique comprado a má fé do usuário. Internet A rede mundial de computadores. Contas com inatividade por um período igual ou superior a 60 (sessenta) dias serão bloqueadas. podem ser tomadas as ações disciplinares. O tamanho das caixas postais será de 200 Mbytes para os usuários classificados como VIP’s (Presidente. ou simplesmente internet. Esta regra não se aplica às contas vinculadas aos cargos/funções. determinando a responsabilidade sobre a sua utilização.

Messenger. Os casos extremos que vão contra a PSI e a Norma de Conduta serão levados ao Departamento de Recursos Humanos. evitando. servidor de rede ou rede. armazenado.180 É negado o acesso a sites de relacionamentos. É expressamente proibido o acesso a sites e programas como Kaaza. vídeos) e discriminatória não pode ser exposto. provocar congestionamento em redes. desta maneira. Material de natureza pornográfica (mp3. Orkut. Não é permitido conectar-se a servidor ou conta cujo acesso não seja expressamente autorizado ao usuário. tentativas deliberadas de sobrecarregar um servidor e tentativas de invadir um servidor. . o usuário deverá fechar todos os programas acessados. O relatório de acesso à internet ficará disponível ao gestor do colaborador por 03 (três) meses. Também são vedados sites que contenham matérias de pedofilia e com conteúdos discriminatórios de qualquer forma. Ao ausentar-se do local de trabalho. ICQ ou qualquer outro que não esteja diretamente ligado a atividade da empresa. Isso inclui ataques do tipo DOS (Denial of Service) “negação de serviço". pornográficos ou que denigram a imagem de empresas ou pessoas. Utilização da Rede Não são permitidas tentativas de interferir nos serviços de qualquer outro usuário. editado ou gravado através do uso dos recursos computacionais da Rede de Comunicação de Dados. o acesso por pessoas não autorizadas e se possível efetuar o logout/logoff da rede ou bloqueio do desktop através de senha. ficando a critério do gestor as ações disciplinares que incluem o desligamento. distribuído. Chat.

Carvalho e Vieira Associados conforme as diretrizes definidas para a Política de Segurança da Informação (PSI) da empresa e nas demais normas do mesmo tema. para a empresa está reservado o direito de: a)Implantar softwares e sistemas que monitorem e gravem o uso da internet através da rede ou de cada uma das estações de trabalho. Normas Gerais para Técnicos Objetivos Esta norma tem por objetivo registrar de forma resumida as melhores práticas para a correta administração dos ativos e recursos de Tecnologia da Informação. por parte de todos os técnicos da Candido. técnicos e administradores dos recursos ou ativos de informação da Candido. no disco local da estação ou nas áreas privadas da rede. visando assegurar o rígido cumprimento da política de uso da internet. . Carvalho e Vieira Associados em qualquer unidade da empresa ou local em que estejam atuando. c)Instalar softwares e hardwares para proteger a rede interna e garantir a integridade dos dados e programas. incluindo firewall ou qualquer outro similar. Abrangência Esta norma especificamente é direcionada aos colaboradores.181 No intuito de fiscalizar as delimitações impostas com a presente política de uso da rede. b)Verificar qualquer arquivo armazenado no servidor. devendo ser seguida por todos os colaboradores técnicos irrestritamente. não sendo admitindo alegar-se desconhecimento ou não concordância com esta ou com qualquer outra norma de segurança da informação para justificar qualquer forma de não cumprimento.

utilizando-se de software de geração de chave keygenerator. e depósito imediato da chave gerada em dispositivo HSM. com intervalo de 12 meses. Fará parte da imagem o software cliente de firewall e o antivírus. em nenhum momento. Os desktops e notebooks serão categorizados de duas formas. . caso comprovado.182 Configurações de Desktops. devem ser depreciados em 4 anos. com o objetivo de possuir apenas quatro modelos que deverão ser atualizadas a cada 12 meses. que. Todos os sistemas com suporte à criptografia terão sua troca de chave simétrica realizada única e exclusivamente pelo Security Officer. proverá acesso a todos os sistemas da empresa de uma única vez. qualquer dos envolvidos possa ter acesso à mesma. haverá um estudo para a definição deste hardware. No caso dos servidores. na ocasião será feita uma análise para verificar se um ativo ainda pode ser reaproveitado para uma função caracterizada como não crítica. Nenhum usuário deverá ter privilégio administrativo no equipamento. Os servidores devem ser depreciados em cinco anos. sem que. em uma cerimônia com a presença de auditores da consultoria XYZ. Notebooks e Servidores Todos os desktops e notebooks. estas máquinas serão doadas para instituições carentes com o objetivo de promover a inclusão digital. com a restrição de horário imposta pelo perfil de cada usuário. Requisitos de criptografia e certificado digital Ao logar-se no sistema. todos os usuários devem utilizar-se de token de acesso contendo seu certificado digital para o processo de autenticação.

desde que esteja no período dos cinco anos. .183 Esterilização e descarte de mídias O descarte da mídias será feita logo após o sucesso do processo de esterilização . Na necessidade de recuperar algum dado armazenado. após avaliação da gerência será responsável para retirar as mídias para descarte e esterilização em dias previamente definidos. Não será possível restaurar dados superiores a cinco anos porque passado este período. o pedido para retirada da media junto a empresa terceira deve ser feita com antecedência. as mídias devem ser esterilizadas com segurança em ambiente apropriado. A empresa terceira deverá enviar lista das pessoas autorizadas a retirar malote lacrado contendo as medias e mantê-la atualizada para ter o acesso liberado nas dependências do escritório. A empresa terceira deve enviar mensalmente relatório informativo de armazenamento. Antes do descarte. a mídia é enviada para esterilização e descarte. O contrato com a empresa terceira será renovado anualmente. A empresa contratada como terceira. Tempo de armazenamento e vida útil de dispositivo de armazenamento de dados A vida útil dos dispositivos de backup será limitada aproximadamente a cinco anos de uso e substituída conforme modelos disponíveis no mercado. Cada filial terá uma única unidade de backup do mesmo modelo que a matriz para evitar problemas de restauração de dados.

além de possibilitar a contingência das mídias.tentativas deliberadas de sobrecarregar um servidor e tentativas de invadir um servidor. Este controle será feito pela empresa contratada. Chat.184 Local de estoque e armazenamento de mídias de dados Será necessário duplicar cada mídia mensal antes do armazenamento para evitar qualquer atraso na recuperação de dados em caráter de urgência. Isso inclui ataques do tipo DOS (Denial ofService) “negação de serviço". transporte e armazenamento das medias. É expressamente proibido o acesso a sites e programas como Kaaza. Material de natureza pornográfica (mp3. além do cuidado para que não haja nenhum tipo vazamento de informação. Utilização da Rede Não são permitidas tentativas de interferir nos serviços de qualquer outro usuário. vídeos) e discriminatória não pode ser exposto. provocar congestionamento em redes. Messenger. A empresa contratada para o armazenamento terá total responsabilidade pela retirada. . servidor de rede ou rede. ICQ ou qualquer outro que não esteja diretamente ligado a atividade da empresa. distribuído. editado ou gravado através do uso dos recursos computacionais da Rede de Comunicação de Dados Não é permitido conectar-se a servidor ou conta cujo acesso não seja expressamente autorizado ao usuário. Orkut. A identificação das mídias com código de barras ajudará no controle e classificação da mesma. Será eleito um colaborador interno para acompanhar todo o processo de retirada das medias pela empresa terceira e o mesmo fará conferência do lacre de segurança certificando-se que não haja nenhuma violação. armazenado.

Verificar qualquer arquivo armazenado no servidor. Para isto devem-se observar os seguintes pontos:  É recomendável que os servidores e as estações de trabalho mantenham sempre um espaço disponível em suas unidades lógicas em torno de 20 vinte por cento do tamanho total da unidade para possibilitar o uso de programas de checagem. ser vistoriados e confrontados com listas de checagem para ações preventiva de manutenção. controle e segurança.  As versões e patches do sistemas operacional assim como os sistemas de navegação na internet. incluindo firewall ou qualquer outro similar Manutenção dos Recursos de Tecnologia da Informação Os recursos de Tecnologia da Informação devem ser organizados e controlados de forma que possam a qualquer momento e sem prévio aviso. correio e pacotes de aplicativos devem ser sempre atualizados e somente após terem sido devidamente testados e homologados .185 No intuito de fiscalizar as delimitações impostas com a presente política de uso da rede.  Os relógios dos servidores ou equipamentos de conectividade devem estar sincronizados para garantir a exatidão dos registro de auditoria. visando assegurar o rígido cumprimento da política de uso da internet. Esta norma aplica-se inclusive a equipamentos portáteis da empresa ou de terceiros que tenham sido autorizados para uso nas atividades operacionais da empresa.  Instalar softwares e hardwares para proteger a rede interna e garantir a integridade dos dados e programas. no disco local da estação ou nas áreas privadas da rede. para a empresa está reservado o direito de:   Implantar softwares e sistemas que monitorem e gravem o uso da internet através da rede ou de cada uma das estações de trabalho. Para facilitar o sincronismo dos relógios é recomendado o ajuste periódico com o UTC – Universal Ordinated Time .

integridade e disponibilidade das informações). Normas Para Segurança Lógica Objetivos O objetivo específico é definir regras/padrões para controlar o acesso a dados. No caso do CPD. Carvalho e Vieira Associados. cumprimento dos padrões de segurança do trabalho prevista na CLT (Consolidação das Leis do Trabalho). rede elétrica. cabeamento. aplicações e redes da empresa Candido. sob acompanhamento de pessoa do local e com a dúvida orientação e treinamento. controle de temperatura. em horário previamente determinado. programas. devendo-se ter especial atenção quanto à localização dos mesmos (proteção da confidencialidade. impressoras e outros equipamentos instalados em ambientes compartilhados. O pessoal de apoio de serviços gerais deve ter acesso aos ambientes de processamento e telecomunicações somente com autorização. normas técnicas vigentes e recomendações dos fornecedores dos recursos. A integridade física dos servidores de rede e de equipamentos de telecomunicações é fator primordial para continuidade dos serviços. tais recursos devem ser instalados em ambiente especial reservado e exclusivo. . combate a incêndio. No caso de estações de trabalho. deve-se buscar o máximo de segurança física possível. com acesso restrito e controlado. com a instalação elétrica (cabos e fios protegidos) e o cabeamento protegido e bem conectado sem sobras e identificados.186 Segurança Física É indispensável que a instalação de recursos de tecnologia da informação obedeça a um controle de segurança física quanto à localização.

Os arquivos de logs devem ser criteriosamente definidos para permitir recuperação nas situações de falhas. A cópia de segurança deve ser testada e mantida atualizada. auditoria nas situações de violações de segurança e contabilização do uso de recursos. para identificar tendências. Redes.187 Abrangência       Dados. Acesso Lógico. Os sistemas devem possuir controle de acesso de modo a assegurar o uso apenas a usuários ou processos autorizados. Programas. . O responsável pela autorização ou confirmação da autorização deve ser claramente definido e registrado. falhas ou usos indevidos. Os logs devem ser periodicamente analisados. Devem ser estabelecidas e mantidas medidas e controles de segurança para verificação crítica dos dados e configuração de sistemas e dispositivos quanto a sua precisão. Sistemas As necessidades de segurança devem ser identificadas para cada etapa do ciclo de vida dos sistemas disponíveis na empresa. A documentação dos sistemas deve ser mantida atualizada. Servidores. Aplicações. consistência e integridade. Os logs devem ser protegidos e armazenados de acordo com sua classificação.

Proteção lógica adicional (criptografia) deve ser adotada para evitar o acesso não autorizado às informações. confirmadas e registradas continuadamente. A versão do Sistema Operacional. Os acessos lógicos devem ser registrados em logs. que devem ser analisados periodicamente. O tempo de retenção dos arquivos de logs e as medidas de proteção associadas devem estar precisamente definidos. As vulnerabilidades do ambiente devem ser avaliadas periodicamente e as recomendações de segurança devem ser adotadas. As autorizações devem ser revistas. assim como outros softwares básicos instalados nos servidores. Os eventos devem ser armazenados em relatórios de segurança (logs) de modo que sua análise permita a geração de trilhas de auditoria a partir destes registros. Devem ser utilizados somente softwares autorizados pela própria entidade nos seus equipamentos. Servidores O acesso lógico. em conformidade com as recomendações dos fabricantes. deve ser controlado e protegido. . O responsável pela autorização ou confirmação da autorização deve ser claramente definido e registrado. devem ser mantidos atualizados. principalmente no que diz respeito à integridade dos arquivos de configuração do Sistema Operacional e de outros arquivos críticos. Devem ser adotados procedimentos sistematizados para monitorar a segurança do ambiente operacional.188 Os sistemas devem ser avaliados com relação aos aspectos de segurança (testes de vulnerabilidade) antes de serem disponibilizados para a produção. As máquinas devem estar sincronizadas para permitir o rastreamento de eventos. ao ambiente ou serviços disponíveis em servidores. Deve ser realizado o controle da distribuição e instalação dos mesmos.

Os procedimentos de cópia de segurança (backup) e de recuperação devem estar documentados. Devem ser adotadas as facilidades de segurança disponíveis de forma inata nos ativos de processamento da rede.189 O acesso remoto aos servidores deve ser realizado adotando os mecanismos de segurança pré-definidos para evitar ameaças à integridade e sigilo do serviço. para que sejam detectadas e corrigidas as vulnerabilidades inerentes à configuração padrão que se encontram nesses ativos em sua primeira ativação. Redes O tráfego das informações no ambiente de rede deve ser protegido contra danos ou perdas. incluindose o “Efeito Tempest”. de modo a garantir a disponibilidade das informações. bem como acesso. mantidos atualizados e devem ser regularmente testados. Serviços vulneráveis devem receber nível de proteção adicional. uso ou exposição indevidos. Componentes críticos da rede local devem ser mantidos em salas protegidas e com acesso físico e lógico controlado. baseado nas responsabilidades e tarefas de cada usuário. roubos e intempéries. A configuração de todos os ativos de processamento deve ser averiguada quando da sua instalação inicial. devendo ser protegidos contra danos. furtos. O acesso lógico aos recursos da rede local deve ser realizado por meio de sistema de controle de acesso. . O acesso deve ser concedido e mantido pela administração da rede. O uso de senhas deve estar submetido a uma política específica para sua gerência e utilização.

190 A utilização de qualquer mecanismo capaz de realizar testes de qualquer natureza. Devem ser definidos relatórios de segurança (logs) de modo a auxiliar no tratamento de desvios. A infra-estrutura de interligação lógica deve estar protegida contra danos mecânicos e conexão não autorizada. de forma a permitir registro histórico. a configuração e o inventário dos recursos devem ser mantidos atualizados. e devem ter a autorização da administração da rede e da gerência de segurança. recuperação de falhas. Os logs devem ser analisados periodicamente e o período de análise estabelecido deve ser o menor possível. devendo ser observadas as recomendações dos fabricantes dos equipamentos utilizados. Proteção lógica adicional deve ser adotada para evitar o acesso nãoautorizado às informações. A alimentação elétrica para a rede local deve ser separada da rede convencional. monitoração sobre os dados. Devem ser adotadas proteções físicas adicionais para os recursos de rede considerados críticos. O diagrama topológico. contabilização e auditoria. Devem ser observadas as questões envolvendo propriedade intelectual quando da cópia de software ou arquivos de outras localidades. a fim de verificar sua normalidade. assim como as normas ABNT aplicáveis. . assim como detectar situações anômalas do ponto de vista da segurança. os sistemas e dispositivos que compõem a rede. A conexão com outros ambientes de rede e alterações internas na sua topologia e configuração devem ser formalmente documentadas e mantidas. como por exemplo. O tráfego de informações deve ser monitorado. só devem ser utilizado à partir de autorização formal e mediante supervisão.

classificação da informação. Conexões entre a rede da Candido. sistemas que executam as funções de registros e . objetivo do serviço. sistemas com função de certificação. corporativas ou que possam causar prejuízo às entidades devem estar protegidas e não devem ser enviadas para outras redes. forma de acesso. forma de administração do serviço e volume de tráfego. As conexões de rede devem ser ativadas: primeiro. e que possuam mecanismos de controle de acesso. segundo. considerando aspectos físicos e lógicos. deverão fazer uso de tal controle. Mecanismos de segurança baseados em sistemas de proteção de acesso (firewall) devem ser utilizados para proteger as transações entre redes externas e a rede interna da entidade. os seguintes aspectos devem ser considerados: requisitos de segurança definidos pelo serviço.191 Informações sigilosas. Todos os recursos considerados críticos para o ambiente de rede. Deve ser adotado um padrão de segurança para todos os tipos de equipamentos servidores. Ambientes de rede considerados críticos devem ser isolados de outros ambientes de rede. de modo a garantir um nível adicional de segurança. No mínimo. Todo serviço de rede não explicitamente autorizado deve ser bloqueado ou desabilitado. sem proteção adequada. freqüência de atualização do conteúdo. Carvalho e Vieira Associados e redes externas deverão estar restritas somente àquelas que visem efetivar os processos. A localização dos serviços baseados em sistemas de proteção de acesso (firewall) deve ser resultante de uma análise de riscos. no menor prazo possível e em intervalos de tempo adequados. público alvo. Os registros de eventos devem ser analisados periodicamente.

Controle de acesso lógico (baseado em senhas) Usuários e aplicações que necessitem ter acesso a recursos da Candido. Se isto não for possível. Nenhum usuário deve ser capaz de obter os direitos de acesso de outro usuário. entre os sistemas das Candido. tais como o uso de proxies que deverão ser implementados para proteger os sistemas que executam a função de certificação contra possíveis ataques. Carvalho e Vieira Associados. para garantir seu sigilo e integridade. Carvalho e Vieira Associados devem ser identificados e autenticados. Sistemas que executam a função de certificação deverão estar isolados para minimizar a exposição contra tentativas de comprometer o sigilo. a integridade e a disponibilidade das funções de certificação. A segurança das comunicações intra-rede e inter-rede. A informação que especifica os direitos de acesso de cada usuário ou aplicação deve ser protegida contra modificações não autorizadas. O sistema de controle de acesso deve manter as habilitações atualizadas e registros que permitam a contabilização do uso. As ferramentas de detecção de intrusos devem ser implantadas para monitorar as redes críticas. A chave de certificação das ACs deverá estar protegida de acesso desautorizado. auditoria e recuperação nas situações de falha. . deverá ser garantida pelo uso de mecanismos que assegurem o sigilo e a integridade das informações trafegadas. deve-se empregar controles de compensação. O arquivo de senhas deve ser criptografado e ter o acesso controlado. alertando periodicamente os administradores das redes sobre as tentativas de intrusão.192 repositório.

O sistema de controle de acesso deve possuir mecanismos que impeçam a geração de senhas fracas ou óbvias. O sistema de controle de acesso deve exibir. As senhas devem ser individuais. secretas. no primeiro acesso. A senha inicial. pelo usuário de TI. deve ser trocada. No momento de conexão. o sistema deve exibir para o usuário informações sobre o último acesso. intransferíveis e ser protegidas com grau de segurança compatível com a informação associada. A distribuição de senhas aos usuários de TI (inicial ou não) deve ser feita de forma segura. . A senha digitada não deve ser exibida. Devem ser adotados critérios para bloquear ou desativar usuários de acordo com período pré-definido sem acesso e tentativas sucessivas de acesso mal sucedidas. O sistema de controle de acesso deve permitir ao usuário alterar sua senha sempre que desejar.193 As autorizações devem ser definidas de acordo com a necessidade de desempenho das funções (acesso motivado) e considerando o princípio dos privilégios mínimos (ter acesso apenas aos recursos ou sistemas necessários para a execução de tarefas). mensagem informando que o serviço só pode ser utilizado por usuários autorizados. A troca de uma senha bloqueada só deve ser executada após a identificação positiva do usuário. na tela inicial. forma de troca e restrições específicas. As seguintes características das senhas devem estar definidas de forma adequada: conjunto de caracteres permitidos. O sistema de controle de acesso deve solicitar nova autenticação após certo tempo de inatividade da sessão (time-out). tamanho mínimo e máximo. prazo de validade máximo. quando gerada pelo sistema.

Equipamentos que executem operações sensíveis devem receber proteção adicional. devendo ser adotados procedimentos de backup. permitindo a contabilização do uso. corporativas ou cuja divulgação possa causar prejuízo a Candido. O acesso às informações deve atender aos requisitos de segurança. definidos em documento específico.194 O registro das atividades (logs) do sistema de controle de acesso deve ser definido de modo a auxiliar no tratamento das questões de segurança. Os usuários e administradores do sistema de controle de acesso devem ser formal e expressamente conscientizados de suas responsabilidades. uso ou exposição indevidos. com controles adequados. Os logs devem ser periodicamente analisados. e informações devem ser protegidos contra danos ou perdas. . bem como acesso. backup. considerando o ambiente e forma de uso do equipamento (uso pessoal ou coletivo). Carvalho e Vieira Associados. incluindo equipamentos portáteis ou stand alone. Devem ser adotadas medidas de segurança lógica referentes a combate a vírus. controle de acesso e uso de software não autorizado. só devem ser utilizadas em equipamentos das entidades onde foram geradas ou naqueles por elas autorizadas. considerando os aspectos lógicos (controle de acesso e criptografia) e físicos (proteção contra furto ou roubo do equipamento ou componentes). As informações armazenadas em meios eletrônicos devem ser protegidas contra danos. Informações sigilosas. furtos ou roubos. auditoria e recuperação nas situações de falhas. mediante assinatura de termo de compromisso Estações de Trabalho As estações de trabalho.

para minimizar os riscos. normas e padrões de segurança e os procedimentos para solicitação de acesso. distribuição e instalação de softwares utilizados. A entidade deverá estabelecer os aspectos de controle. Abrangência Destina-se a todos os colaboradores da Candido. A impressão de documentos sigilosos deve ser feita sob supervisão do responsável.195 Os usuários de TI devem utilizar apenas softwares licenciados pelo fabricante nos equipamentos das entidades. . Os sistemas em uso devem solicitar nova autenticação após certo tempo de inatividade da sessão (time-out). reprodução e uso não autorizado. incluindo orientações de medidas disciplinares. Norma para Uso de Internet Objetivos Esta norma disciplina a utilização da navegação de Internet utilizada pelos colaboradores da Instituição. observadas as normas da Candido. Procedimentos formais para a eliminação segura das mídias devem ser definidos. As mídias devem ser eliminadas de forma segura. quando não forem mais necessárias. Carvalho e Vieira Associados e legislação de software. Carvalho e Vieira Associados que utilizam a navegação de Internet para o exercício de suas atividades. O inventário dos recursos deve ser mantido atualizado. Os relatórios impressos devem ser protegidos contra perda.

Carvalho e Vieira Associados é permitido e encorajado desde que seu uso seja aderente aos objetivos e atividades fins do negócio da Candido. sem ter um contrato de licenciamento ou outros tipos de licença atacar e/ou pesquisar em áreas não autorizadas (Hacking) criar ou transmitir material difamatório executar atividades que desperdice os esforços do pessoal técnico ou dos recursos da rede introduzir de qualquer forma um vírus de computador dentro da rede corporativa     . Carvalho e Vieira Associados. o termo Candido. Será considerado totalmente inaceitável tanto no uso quanto no comportamento dos empregados:     visitar sites da Internet que contenha material obsceno e/ou pornográfico usar o computador para executar quaisquer tipos ou formas de fraudes. Carvalho e Vieira Associados passa a ser substituído por “Instituição” no restante do texto desta norma.196 Por conveniência. Normas O uso da Internet pelos empregados da Candido. ou software/musica pirata usar a Internet para enviar material ofensivo ou de assédio para outros usuários baixar (download) de software comercial ou qualquer outro material cujo direito pertença a terceiros (copyright).

Essas normas visam:  Garantir que o uso dos serviços do correio eletrônico esteja relacionado aos trabalhos da Candido.197 Monitoramento A Candido. todos os recursos tecnológicos da Candido. Portanto. Assim como qualquer recurso provido pela Candido.Entretanto. Norma para Uso de Correio Eletrônico Objetivos Correio eletrônico refere-se à transferência eletrônica de informação. . Carvalho e Vieira Associados e regido por regras de conduta similares àquelas aplicáveis a outros recursos de informática. tipicamente na forma de mensagens eletrônicas e documentos anexados. o uso dos serviços do correio eletrônico deve ser dedicado às atividades de interesse da Candido. Carvalho e Vieira Associados. refletir honestidade e demonstrar moderação no consumo dos recursos compartilhados. Carvalho e Vieira Associados. a empresa se dá ao direito de monitorar o volume de tráfico na Internet e na Rede. Carvalho e Vieira Associados ou em benefício deste. O uso adequado deve ser legal.https. o mau uso dessa facilidade pode ter impacto negativo sobre a produtividade dos funcionários e a própria reputação do negócio. ético. Carvalho e Vieira Associados reafirma que o uso da Internet é uma ferramenta valiosa para seus negócios. ftp) visitados. juntamente com os endereços web (http. Em adição. O objetivo desta norma de uso do correio eletrônico é estabelecer padrões/normas para o uso adequado dos serviços de correio eletrônico da Candido. Carvalho e Vieira Associados existem para o propósito exclusivo de seu negócio.

198  Informar aos usuários que as mensagens e os documentos eletrônicos estão sujeitos às mesmas leis e normas aplicadas a documentos escritos. Carvalho e Vieira Associados ocasionada pelo uso não apropriado dos serviços de correio eletrônico. Responsabilidades dos Usuários Administradores do Correio Administrar as políticas e procedimentos relativos aos serviços de correio eletrônico e assegurar o cumprimento de leis e normas aplicáveis. . assim como. assediar ou causar transtornos. o uso não apropriado ou proibido dos serviços de correio eletrônicos definidos nesta norma. Estabelecer procedimentos e rotinas de manutenção de contas de correio.   Abrangência Todos os usuários que acessem os serviços de correio eletrônico da Candido. Verificar periodicamente o desempenho e a integridade do sistema de correio eletrônico. e também não devem usar o correio eletrônico para intimidar. privacidade e uso adequado. mecanismos de segurança. Minimizar a interrupção das atividades da Candido. Carvalho e Vieira Associados Responsabilidades dos Usuários Os usuários não devem violar direitos de propriedade de informação. descrevendo suas responsabilidades pessoais a respeito da confiabilidade. Fornecer aos usuários orientações.

199 Uso do Espaço Disponível Tamanho da Caixa Postal de Usuários:  O tamanho das caixas postais será de 200 Mbytes para os usuários classificados como VIP’s (Presidente. Para usuários VIP’s (Presidentes. um alerta será enviado ao usuário. um alerta será enviado ao usuário. Para usuários comuns:    Ultrapassados 90 MB. a caixa postal será bloqueada para envio e recebimento de mensagens. Ultrapassados 198 MB. a caixa postal será bloqueada para envio e recebimento de mensagens Tamanho Máximo de Mensagens Enviadas e Recebidas Qualquer mensagem. Ultrapassados 98 MB. o envio de mensagem será bloqueado. Diretores e Advogados):    Ultrapassados 190 MB. Ultrapassados 95 MB. Tamanho de pastas públicas A pasta pública terá um limite de espaço máximo de 100MB para armazenamento de mensagens e documentos. Ultrapassados 195 MB. deverá respeitar o limite de tamanho de 10000 KB. o envio de mensagem será bloqueado. . Diretores e Advogados) e de 100 Mbytes para os demais usuários. enviada ou recebida (externa ou internamente).

. Poderá ser dado a um usuário o direito de acessar a caixa postal de outro usuário. Tempo de vida de documentos em pastas públicas Não há limite de tempo de vida das mensagens e documentos em pastas públicas. o mesmo deve periodicamente excluir as mensagens que não forem mais necessárias. Tempo de vida de mensagens e documentos na pasta “Itens Excluídos” As mensagens armazenadas na pasta “Itens Excluídos” têm tempo de vida de um mês. serão permanentemente removidas. Este procedimento pode ser realizado pelo usuário proprietário da caixa postal ou pelo administrador do correio por meio de autorização por escrito do proprietário da caixa postal ou seu superior. Quantidade de caixas postais por usuário Cada usuário tem direito a apenas uma única caixa postal. Direito de acesso à pasta pública do próprio departamento Todos os usuários do departamento têm direito de leitura. gravação e alteração na pasta pública do departamento. Concomitantemente será realizado um procedimento automático que excluirá as mensagens não lidas das caixas postais de usuários que tenham mais de seis meses de tempo de vida. após o qual.200 Tempo de Vida das mensagens e documentos Devido ao espaço limitado para cada usuário. Cada usuário poderá excluir apenas a sua mensagem ou o seu documento da pasta pública do departamento.

Carvalho e Vieira Associados Todos os usuários têm direito de leitura e gravação na pasta pública da Candido. Os usuários não terão direito algum à pasta pública de outro departamento. licença-prêmio. etc.201 O diretor possui direitos ilimitados na pasta pública do seu departamento. Os usuários poderão excluir ou alterar apenas as suas próprias mensagens ou seus próprios documentos. licença sem vencimento. Esse item também se aplica a pastas públicas de divisões. etc. exclusão. Direito de acesso à pasta pública temática O administrador do correio e o usuário moderador tem acesso ilimitado a esta pasta. exceto quando autorizados por escrito pelo diretor do departamento. Caso deseje. Direito de acesso à pasta pública da Candido. Carvalho e Vieira Associados. Ausência temporária Não há qualquer procedimento específico (desativação. . Direitos de acesso para outros usuários serão definidos pelo usuário moderador da pasta. Apenas o administrador do correio tem acesso ilimitado a esta pasta. o usuário poderá configurar sua caixa postal para deixar de receber mensagens ou encaminhá-las para outra caixa postal.) para casos de ausência temporária (férias.).

Carvalho e Vieira Associados. Listas departamentais. por outro lado. Apenas os funcionários do departamento têm acesso à pasta. etc. Pastas públicas temáticas São criadas para discutir assuntos de interesse de um grupo de funcionários de um departamento ou de toda Candido. Pastas públicas de grupo de trabalho Têm o objetivo de centralizar documentos relativos a um projeto ou atividades de um grupo de trabalho composto por membros de um ou mais departamentos. podem ser criados para este tipo de usuário. Pastas públicas departamentais Destinam-se ao armazenamento de documentos e mensagens de um departamento.202 Criação de caixas postais para terceiros Não é permitida a criação de caixa postal para terceiros (fornecedores. Funcionários exonerados.). Endereços de Internet. . aposentados A caixa será bloqueada e após seis meses será excluída. não sendo importante o armazenamento centralizado da mensagem. prestadores de serviços. Qualquer usuário poderá sugerir a criação de pastas públicas temáticas. temáticas e de grupo de trabalho Utilizam-se listas quando for necessária a notificação imediata da mensagem a todos os membros da lista.

203 Conteúdo Proibido O conteúdo de qualquer mensagem de correio deve ser apropriado às atividades da Candido. Escrita. etc. Assédio. que vai desde Advertência Verbal. Conteúdo discriminatório. Carvalho e Vieira Associados. Suspensão até Justa Causa. Carvalho e Vieira Associados. Arquivos executáveis como anexo. por exemplo. .). São proibidas mensagens que contenham:    Pornografia. autopromoção. implicará na suspensão imediata do acesso à rede.b) tornando-o passível de punição. Correntes. como. etc. SPAM (mensagens não solicitadas enviadas para vários destinatários com conteúdo não relacionado às atividades da Candido. ficando o infrator sujeito às penalidades aplicáveis à espécie mediante classificação do nível de violação e reincidência conforme descrito.     Sanções O não cumprimento das disposições inseridas na presente Política. divulgação comercial.art. podendo ser caracterizado como incontinência de conduta ou mau procedimento (CLT . 482 . O conteúdo sujeita-se às mesmas restrições como qualquer outra correspondência. Carvalho e Vieira Associados. O uso indevido dos recursos de informática viola a obrigação legal e contratual que o funcionário tem para com a Candido. Ataques.

e tornam vulneráveis os ativos ou processos causado riscos ao ambiente. As sanções previstas para este tipo de violação incluem desde advertência escrita com suspensão das atividades do trabalho de 1 a 3 dias até na aplicação de sanções administras.  Violação do Nível 3 . cíveis e penais previstas na .  Violação do Nível 2 . será aplicada as sanções previstas no nível 2  Violação do Nível 1 . ou que cause perda de produtividade. e afetam diretamente ou indiretamente a segurança da informação aplicada. As sanções previstas para este tipo de violação incluem advertência verbal ou escrita ressaltando a norma descumprida e a devida importância de seu cumprimento. Cada nível sugere um grau maior de impacto em que o descumprimento da norma possa afetar a segurança da informação como um todo. Cada violação citará qual o enquadramento será aplicado ao infrator caso o seu descumprimento. mas não afetam de maneira critica ou causa impacto severo na segurança das informações. ou ainda que exponha a empresa a violações de legislação em vigor.considera as violações que descumprem a norma e causa impactos no ambiente.considera as violações que descumprem a norma. informações importantes ou sigilosas para o negócio da empresa.204 Classificação das Violações A não observância e o descumprimento nas normas especificadas nesta política serão classificados nos níveis de violação discriminados.considera as violações que descumprem a norma. qualifica o infrator para o enquadramento do nível subseqüente. sendo necessárias as ações para a reparação e retomada da operacionalização do ambiente. a reincidência quando não citada na normal especifica. ou seja. a reincidência de uma infração classificada no nível 1.

Estratégia de implementação da P.205 Consolidação da Leis do Trabalho (CLT . para o enquadramento quando nível de violação.910/98) no Novo Código Civil (Lei 10.art.983/00 e no Decreto N 2. devemos estar atentos para as suas conseqüências nos parceiros com os quais nos relacionamos. 482 -b) no Código Penal (Decreto-Lei N 2. que realizamos ao longo dos últimos anos.S. Nesse sentido. Carta do Presidente O intuito da carta é demonstrar a todos os colaboradores da instituição o envolvimento da alta diretoria/presidência com o projeto de gestão de segurança da informação e ainda motivar a todos mostrando o quanto isso é importante para a empresa.I. .404 de 10/01/2002) ou em qualquer outra legislação que regule ou venha regular a matéria. Quaisquer casos omissos a estas sanções serão passiveis de avaliação pela GSI (Gestão de Sistema de Informação). Este documento é resultado do profundo processo de reflexão interna e do diálogo constante com os nossos diversos públicos. Tenho a grata satisfação de encaminhar-lhe a Política de Segurança da Informação – PSI. em qualquer nível hierárquico. Eles consolidam as nossas crenças e explicita os princípios e as diretrizes que devem reger a nossa atuação. ao tomar qualquer tipo de decisão. com as alterações da Lei N 9. Prezado Colaborador. aplicados ao negócio.848/40. Carvalho e Vieira Associados. estes documentos devem ser vistos como um manual de consulta que visa orientar as nossas ações cotidianas na Candido. fundamentados em uma visão contemporânea da segurança da informação e nossos ativos. Todas as nossas decisões devem estar alinhadas com os princípios e diretrizes aqui definidas. sejam eles internos ou externos. bem como aplicação das sanções cabíveis. Assim.

juntos.206 Para que isto aconteça. que somos capazes de desenvolver nossos negócios de forma responsável. Cordialmente. posto que nos baseamos e estamos apoiados nos principais conceitos e normas da segurança da informação e de sólidos princípios éticos.2 da norma ISO/IEC 17799:2005. violações. Carvalho e Vieira Associados Documentação de Suporte Este documento tem por objetivo apresentar o Termo de Responsabilidade e Sigilo aos colaboradores. Termo de Responsabilidade e Sigilo Declaro para os devidos fins e efeitos de direito que a empresa Candido. atendendo aos requisitos da Política de Segurança da Informação da empresa Candido. Na seqüência. de forma inequívoca. todos nós participaremos de encontros organizados em nossas áreas de trabalho. procurando identificar as relações existentes entre as diretrizes e procedimentos aqui formulados e as decisões/ações que você toma no seu dia-a-dia profissional. Por esse motivo. podemos transformá-lo em um instrumento legítimo de nossas crenças. Carvalho e Vieira Associados trouxe ao meu conhecimento o conteúdo das diretrizes. sustentável e segura. normas e responsabilidades que regem sua Política de . A organização deste documento baseia-se nas recomendações descritas no item 8. Carvalho e Vieira Associados . espero que você leia atentamente estes documentos. ao apresentar a Política de Segurança da Informação – PSI da Candido. Carvalho e Vieira Associados .1.quero expressar a minha convicção de que. demonstrando. especificamente para nos ajudar a transformar essas diretrizes em práticas cotidianas. Presidente da Candido.

etc. e serão utilizados exclusivamente no cumprimento de minhas responsabilidades perante a empresa. cartões. chaves. cópia. motivo pelo qual me comprometo a manuseá-las de maneira segura e somente no exercício de minhas atividades. devendo ser por mim devolvidos em caso de desligamento. furto. permissões. Comprometo-me a não adquirir. mesmo aqueles desenvolvidos internamente pelas áreas técnicas ou não da empresa. uso correto e manutenção adequada de todos os equipamentos existentes na empresa. inclusive correspondências recebidas em nome ou endereço da mesma. conforme PSI e Manual de procedimentos. acessos. crachás.207 Segurança. senhas. Carvalho e Vieira Associados está autorizada a consultar. A empresa Candido. utilização indevida e/ou divulgação não autorizada. registradas em qualquer meio. monitorar e analisar informações geradas e localizadas em suas instalações ou se utilizando de recursos da empresa. instalar. Sem autorização expressa da empresa Candido. principalmente os que estão sob minha responsabilidade. Todas as informações utilizadas na empresa sejam elas de sua propriedade ou não são confidenciais e sigilosas. Comprometo-me a zelar pela segurança. reproduzir. Carvalho e Vieira Associados. estando ciente e responsável pelo que segue: Qualquer meio de acesso as informações ou instalações que a empresa me forneceu ou vier a fornecer (como identificações de usuário. evitando sua perda. As informações por mim geradas ou recebidas durante minha jornada de trabalho deverão tratar apenas de assuntos profissionais e ligados exclusivamente ao exercício de minha função. utilizar e/ou distribuir cópias não autorizadas de programas em geral. .) são de caráter exclusivamente pessoais e intransferíveis.

transmitindo assim a importância do evento para todos. Assinatura: _________________________ Nome Completo: ___________________________ Doc. Carvalho e Vieira Associados. a diretoria da informática se reuniu com representantes dos departamentos a fim de obter opiniões sobre o modo de implementação da política na empresa e os principais impactos na operação do negócio. xx de xxxxxxxxxx de xxxx. Esta reunião permitiu conscientizar as chefias e formadores de opinião dos departamentos e coletar as primeiras impressões.Identidade (RG): ________________________ CPF: _____________________________ Campanha de Divulgação Depois de elaborada a política de segurança da Candido.208 Descumprindo os compromissos por mim assumidos nesta declaração estarei sujeito às penalidades aplicáveis. São Paulo. como medidas administrativas/disciplinares internas e/ou ações penais/cíveis previstas em lei. possibilitando pequenos ajustes antes da divulgação da política oficial. foi definido a realização de palestras de divulgação de política aos colaboradores tendo a participação do presidente da empresa na sessão inaugural. Como resultado deste encontro. .

uma campanha de divulgação interna foi criada pelo departamento de marketing. documentos. como RH. Este programa envolveu campanhas no sentido de conscientizar e informar aos funcionários informações. copias dos materiais usados nas campanhas .uso de cartazes.uso da sala de aula com rico material audiovisual tendo como alvo o aprendizado mais especifico de determinadas normas e procedimentos as serem adotados. . e colaboradores também o com relação à das segurança pessoas das e a Envolveu treinamento disponibilização de ferramentas para melhorar a fixação e o aprendizado.209 Afim de criar uma expectativa sobre o evento. quadro de aviso e brindes tendo como alvo a conscientização das pessoas. Este programa foi dividido em 3 grandes frentes:   Campanhas . vídeo. fixando faixas nos principais corredores de acesso com slogans sobre segurança da informação. Ferramentas de apoio (intranet) . e-mail. Foram usados diversos meios para dar apoio aos envolvidos e interessados no projeto. Esses meios viabilizaram uma melhor comunicação com o público alvo do projeto além de oferecer ferramentas para a medição de como as informações estavam sendo absorvidas pelas pessoas da empresa.uso de pesquisas. Além dá criação de canais de comunicação para a interação com o publico alvo. Treinamentos .tendo como objetivos ser uma ferramenta de apoio para ajudar as pessoas envolvidas ou interessadas no projeto.  Outras Campanhas Diversas campanhas visando à conscientização dos funcionários sobre a segurança na empresa foram desenvolvidas pela equipe de segurança juntamente com outros departamentos.

210 As campanhas desenvolvidas se deram através do envio de e-mails, entrega de folhetos, fixação de cartazes em lugares de grande movimento. Com isso esperou-se dar informações gerais do projeto, informando também quanto à importância da participação de todos e a agenda de eventos importantes.

Programas de Treinamentos Assim como as campanhas, foram desenvolvidos treinamentos específicos para cada área da empresa, juntamente com o departamento de RH, para que a segurança da informação pudesse ser transmitida a todos os funcionários da empresa. Alguns destes treinamentos visavam informar formas corretas de se manipular documentos classificados da empresa, as melhores práticas de senhas e divulgação da política de segurança para todas as áreas da empresa. Os cursos foram aplicados através de aulas ministradas em auditório com os seguintes temas:  Como usar o e-mail com segurança - onde foram abordados temas de como proceder no momento de recebimento de um e-mail suspeito, ou com mensagem imprópria, ou com erros. Também demonstrando quais são as novas regaras impostas pela política de segurança da Candido, Carvalho e Vieira Associados; Cuidados na navegação na internet - onde foram abordados temas de como proceder na navegação do dia-a-dia na internet, como evitar entrar em sites suspeitos, ou clicar em links recebidos por e-mails suspeitos, demonstração de páginas de sites vitimas de phising , como navegar usando as novas regaras impostas pela política de segurança da Candido, Carvalho e Vieira Associados;

211  Como classificar e trabalhar de forma segura com arquivos confidenciais - onde foram abordados os temas de como salvar os arquivos nas pastas corretas por departamentos, como efetuar backup’s no uso de arquivos em notebooks e em viagens. Como classificar as informações de forma apropriada, cuidados ao enviar e quando cópia de documentos confidenciais. Tudo isso conforme as novas normas estabelecidas na política de segurança da Candido, Carvalho e Vieira Associados.

Cada participante do curso recebeu uma cópia da política de segurança para fazer suas próprias anotações, além de um marcador de página com algumas informações a respeito do projeto. Houve também o uso de recursos audiovisuais (sons e imagens nos slides) para melhorar a fixação das informações passadas. Foram também aplicados exercícios em classe com todos os participantes, estimulando assim a assimilação do conteúdo transmitido. Foi permitido as participantes assistirem a mais de uma vez o curso caso houvesse interesse. Foi transmitido aos participantes um e-mail interno (duvidas_segurança@candidocarvalhovieira.com.br) para ser usado como canal de comunicação para serem tiradas quaisquer duvidas posteriores em cima do conteúdo passado ou de qualquer outro assunto relacionado ao projeto de segurança dentro da empresa. Houve a disponibilização do vídeo da primeira aula na intranet da empresa para posterior consulta, através do endereço http://www.candidocarvalhovieira/seguraca/security.avi Durante o curso, houve sempre a preocupação de informar aos participantes onde conseguir as informações necessárias para realizarem as tarefas de forma adequada às novas exigências da empresa, através da indicação do uso da pagina de segurança dentro da intranet, uso do canal de comunicação por e-mail, através da leitura da política de segurança e etc.

212 Abaixo o quadro de aviso usado para informação dos funcionários a respeito do curso:

213

Após o treinamento, todos os funcionários serão submetidos à uma avaliação online, para garantir o entendimento dos temas abordados, quem tiver um aproveitamento superior a sete pontos receberá um certificado de participação no curso de segurança, conforme figura abaixo. Assinado pessoalmente pelo presidente da empresa e pelo diretor de tecnologia em um evento de comemoração dos resultados do projeto.

214

CAPITULO VI
O capitulo em epígrafe foi escrito pelo Security Office após a análise de risco tem por objetivo estabelecer um Plano de Continuidade de Negócios . Através deste capitulo são apresentados os critérios para a gestão dos controles de segurança voltados à continuidade do negócio.

6. Plano de Continuidade de Negócios

Definição de PCN
A norma britânica BS 7799 e a brasileira NBR ISO/IEC 17799 consideram dez itens para definir um ambiente seguro. Um destes itens é a recomendação de desenvolvimento de um PCN. Quando se fala em segurança, a área de TI imediatamente pensa em firewalls, proxys, antivírus, senhas, política de segurança, deixando de lado as questões referentes aos processos que dependem de TI e da velocidade de substituição de um hardware danificado. PCN ou Plano de Continuidade de Negocio é um conjunto de ações que visam reduzir a vulnerabilidade da organização a longo prazo. Este plano é definido em conformidade com os gestores da instituição. Uma das razões de se ter um plano de contingência é o fato de que além da ameaça humana existente, são constatadas ainda outras ameaças:  Fenômenos da natureza: eventos da natureza (incêndios,

inundações ventanias e tempestades) podem varrer do mapa centro inteiros e operação de rede:   Imperícias: usuários autorizados, privilegiados, podem destruir inadvertidamente o sistema ou sobrescrever dados vitais; Falha de equipamentos: com a tecnologia atual de fabricação de hardware “baratos” produzidos em massa, falhas de equipamentos são comuns. Unidades de disco rígido novas as vezes falham, por exemplo;

Treinamento adequado do pessoal nos procedimentos e planos de contingência definidos. O desenvolvimento e implementação de planos de contingência visam garantir que os processos do negocio possam ser recuperados dentro da requerida escala de tempo. Atenção especial deve ser dada à avaliação de pendências externas ao negócio e também de contratos existentes. não se precisa antecipar qualquer coisa em particular ou qualquer coisa além de um desastre simples. Vieira Associados e lhe assegurar um nível adequado de estabilidade organizacional durante a recuperação após um desastre. Por fim treinar pessoas em procedimentos de emergência e prover restauração do serviço de forma rápida e eficiente. .215  Erros de aplicativos: a instalação de um software defeituoso pode danificar dados importantes. incluindo o gerenciamento da própria crise. bem como minimizar o risco de atrasos em definir e alterar locais de operação e ou processamento. Estes planos devem ser mantidos e testados de forma a se tornarem parte integrante de todo os outros processos gerenciais. e que são confiáveis e efetivos. Carvalho. além de assegurar que os sistemas de apoio e backup estão controlados e prontamente disponíveis. devendo ser observadas as seguintes recomendações:   Identificação e concordância de todas as responsabilidades e procedimentos do plano de contingência. Implementação dos procedimentos do plano de contingência que permitam a recuperação e restauração nos prazos necessários. após a concorrência de interrupções ou falhas dos processos críticos. Quando se formula planos de recuperação após desastre. Tem como objetivo evitar interrupções na operação de Candido. Qualquer que seja a causa deve-se ter a capacidade de se recuperar imediatamente ou logo depois.   Documentação dos processos e procedimentos acordados.

com.br Este processo de negócio é: (x ) Próprio ( ) Terceirizado pela empresa Gestor responsável: Jair Tabela 15 .br Cargo: E-mail: Funcionários envolvidos (Nome / Cargo): Alexandro / Administrador de redes I Hugo / Administrador de redes II Telefones: Jair@ candidocarvalhovieira.com.com.Identificação dos processos de negócio I Processo de Negócio Nome do Processo de Negócio: Localização: Nome do Responsável: Faturamento Empresa CCV Assoc Marcelo Gerente de TI Jair Gerente de Seg. 3828-1236/ 2344-3322 / 8011-0013 3828-1238 / 3122-6555 / 8011-0015 Cargo: E-mail: Nome do Substituto: Telefones: marcelo@ candidocarvalhovieira.Identificação dos processos de negócio II . 3828-1236/ 2344-3322 / 8011-0013 3828-1238 / 3122-6555 / 8011-0015 Cargo: E-mail: Nome do Substituto: Telefones: marcelo@candidocarvalhovieira.br Funcionários envolvidos (Nome / Cargo): Alexandro / Administrador de redes I Hugo / Administrador de redes II Rodrigo / Administrador de banco de dados / Desenvolvedor de sistemas Este processo de negócio é: (x ) Próprio ( ) Terceirizado pela empresa Gestor responsável: Jair Tabela 16 .216 Mapeamento dos processos Processo de Negócio Nome do Processo de Negócio: Localização: Nome do Responsável: E-mail Empresa CCV Assoc Marcelo Gerente de TI Jair Gerente de Seg.br Cargo: Telefones: E-mail: Jair@ candidocarvalhovieira.com.

br Este processo de negócio é: (x ) Próprio ( ) Terceirizado pela empresa Gestor responsável: Marcelo Tabela 17 .com.br Cargo: E-mail: Funcionários envolvidos (Nome / Cargo): Alexandro / Administrador de redes I Hugo / Administrador de redes II Telefones: 3828-1236/ 2344-3322 / 8011-0013 rodrigo@candidocarvalhovieira.br Este processo de negócio é: (x ) Próprio ( ) Terceirizado pela empresa Gestor responsável: Marcelo Tabela 18 .Identificação dos processos de negócio IV .com.br 3828-1236/ 2344-3322 / 8011-0013 Cargo: E-mail: Funcionários envolvidos (Nome / Cargo): Jair / Gerente de Segurança Hugo / Administrador de redes II Telefones: alexandro@candidocarvalhovieira.217 Processo de Negócio Nome do Processo de Negócio: Localização: Nome do Responsável: Banco de dados Empresa CCV Assoc Marcelo 3828-1238 / 3122-6555 / 8011-0015 Cargo: E-mail: Nome do Substituto: Gerente de TI Rodrigo Administrador de banco de dados / Desenvolvedor de Sistemas Telefones: marcelo@candidocarvalhovieira.com.com.Identificação dos processos de negócio III Processo de Negócio Nome do Processo de Negócio: Localização: Nome do Responsável: Controle de processos jurídicos Empresa CCV Assoc Marcelo 3828-1238 / 3122-6555 / 8011-0015 Cargo: E-mail: Nome do Substituto: Gerente de TI Alexandro Administrador de redes I Telefones: marcelo@candidocarvalhovieira.

Componentes da Infra-Estrutura do Negócio No formulário abaixo foi relacionado os processos de negócios dos quais estes processos depende. Processos Dependentes Unidade de Responsável pelo Negócio (setor) setor Departamento de finanças / Departamento Jurídico / Departamento de RH / Miriam / Juliana / Advogados Marcela / Flávia Departamento de finanças Departamento de finanças / Departamento Jurídico / Departamento de RH / Advogados Advogados Maria Nome do Processo Telefones E-mail Ramal 8856 / 8857 / 8858 / 8859 Ramal 8860 Faturamento Banco de dados Miriam / Juliana / Marcela / Flávia Flávia Ramal 8856 / 8857 / 8858 / 8859 Ramal 8859 Controle de processos jurídicos Tabela 20 . sua execução.Processos dependentes .218 Neste formulário foi relacionado todos os componentes utilizados para a execução de cada processo de negócio. Componentes da Infra-Estrutura do Negócio Nome do Componente wm server bd server switch switch router link embratel 10 Mbps Tempo em minutos de Inoperância Suportável para cada ativo da infraestrutura (sem que haja conseqüências para a empresa) Até: ()1()2()3()4()5 ( x ) 10 ( )15 ( )20 ( )25 ( )30 ( )60 Número de acesso (dia) 1500 3000 20000 800 Criticidade Alto Alto Alto Alto Alto Alto Alto Alto Tabela 19 . indicando quais as respectivas quantidades e quais são os que possuem criticidade Alta. indicando em qual setor (unidade de negócio) é realizado e seus respectivos contatos.

219 Estudo de Criticidade Foi estabelecida uma classificação de relevância entre os processos do negócio. A classificação foi baseada na aplicação de valores dentro de uma faixa de 1 a 5 visando indicar o grau de relevância mais alto como a pontuação de maior valor e grau de relevância mais baixo com a pontuação de menor valor. qual o impacto sobre o negócio da empresa ? Se o sistema x parar. qual a urgência que ele deve ser restabelecido ? Se o sistema x parar por mais de y horas.Abaixo escala para classificação de prioridade no Negócio Seguindo o critério acima as seguintes perguntas foram respondidas pelos gestores:    Se o sistema x parar. Abaixo escala para classificação de prioridade no Negócio: Pontuação 1 Escala Não considerável Interpretação Envolve o atingimento gerenciável do processo do negócio podendo provocar impactos praticamente irrelevantes Envolve o atingimento gerenciável do processo do negócio podendo provocar impactos apenas consideráveis Envolve o atingimento gerenciável do processo do negócio podendo provocar impactos parcialmente significativos Envolve a paralisação do processo do negócio podendo provocar impactos muito significativos Envolve o comprometimento do processo de negócio podendo provocar impactos extremos na recuperação e na continuidade do negócio 2 Relevante 3 Importante 4 Crítico 5 Vital Tabela 21 . qual a gravidade que teremos sobre o negocio da empresa ? .

Com a identificação do escopo de segurança os processos mais críticos e relevantes são priorizados conforme levantamento dos processos feito anteriormente. tecnológicos e humanos que suportam cada um deles. esta etapa é fundamental por fornecer informações para o dimensionamento das demais fases de construção do plano de continuidade. Em seguida. entende-se que é necessário fazer-se um levantamento criterioso em cima de pontos importantes em relação ao mapeamento dos processos críticos e se existe algum Plano de Continuidade para ativos que suporte este processo crítico. Entendemos que isto só foi possível devido a Análise de Risco inicial feita anteriormente e que não seria possível identificá-los sem esta etapa. para então apurar os impactos quantitativos que poderiam ser gerados com a sua paralisação total ou parcial. Uma visão estratégica de continuidade deve dar prioridades aos processos de negócios mais importantes da empresa (críticos). e somente após iniciar o . Seu objetivo é levantar o grau de relevância entre os processos ou atividades que fazem parte do escopo de contingência em função da continuidade do negócio. relevante 3.220 O resultado obtido é o apresentado na tabela a seguir: Processo ERP Disponível Confidencialidade do Banco de dados Integridade do banco de dados E-MAIL Disponível 1. critico x 5. não considerável 2. vital x x x Tabela 22 .Escala para classificação de prioridades nos processos de negócio De posse do conhecimento do negócio da empresa e de seus pontos mais críticos e relevantes. são mapeados os ativos físicos. Análise de Impacto no Negócio (BIA) BIA – “Business Impact Analysis”. importante 4.

junto com o BIA para que se possa mensurar financeiramente os custos das paradas dos processos críticos e vitais. Difícil é saber em qual ordem restaurar cada um dos processos afetados. .221 planejamento dos procedimentos de contingência e a definição mínima dos componentes que devam ser replicados. Um BIA dá um passo além desta definição. etc ) em situações de paralisação de atividades. O “Custo de Parada” é a avaliação caso a caso. frente aos impactos causados (multas. Após a identificação dos sistemas. no principal negócio da empresa. em função da perda que o negócio da empresa sofre. Para tornar o plano mais eficaz. indicando o valor de custo de parada para cada processo analisado. sendo assim calcula-se quanto tempo seria possível a organização sobreviver operando em contingência. De uma forma mais simples: torna-se fácil avaliar a importância dos processos de negócios empresariais. foi avaliado o impacto financeiro causado a organização caso haja uma parada. dano à imagem da empresa. Desta forma. 2 e 3 onde 1 é o mais critico tendo em vista que ele precisa ser restabelecido em até 24 hs para que não haja perda de receita ou denigra a imagem da empresa juntos aos seus clientes. Processos que precisam ser restabelecidos em 48 horas foram classificados como 2. processos e ambientes vitais. suspensão de serviço ao cliente. ou seja nos padrões mínimos tolerados. mensurando o valor da parada do processo. foi realizada entrevistas com os responsáveis de cada área e aplicado um questionário para gerar relatórios de criticidade. O BIA indica este caminho. juntamente com os custos para a recuperação destes mesmos processos. do respectivo valor agregado que o processo adiciona ao fluxo de processos. Os processos foram classificados como 1. fica fácil para quem planeja avaliar os custos de investimentos na continuidade da empresa.

Ambientes/Serviços Classe Tempo de parada Paralisação do CPD Paralisação área administrativa Paralisação da área jurídica 3 1 1 > 48 horas Até 24 horas Até 24 horas Prejuízo financeiro valor aproximado (em R$ por hora) 21. a partir de então.00 35.000. . Destacando que o custo da área jurídica é maior do que o administrativo. Com base na análise de risco realizada e conforme apontado acima pelo BIA.500. restando definir as ameaças que se quer contingenciar. torna-se possível definir as prioridades de contingência. De posse desta análise BIA. Tem-se. A escola das ameaças a se considerar para cada processo está diretamente ligada a probabilidade e severidade de um incidente.00 50.00 Tabela 23 .BIA Os valores citados acima tiveram como base a hora dos colaboradores responsáveis pelo faturamento do escritório.000. a indisponibilidade de cada processo ou atividade pertencente a contingência e ainda agrupa os ativos em função de sua natureza da dependência que mantém com os processos.222 Aqueles que podem ser retomados em mais de 48 horas foram classificados como 3. uma fotografia da funcionalidade dos processos. os níveis de tolerância. o processo mais importante para a empresa e que mais impactaria em caso de indisponibilidade é Servidor ERP.

Além de manter fitas de backup nas instalações principais. cópias das fitas de backup são transportadas de forma segura e confiável para o “hot-site”. Carvalho e Vieira Associados com sede em São Paulo. s/n Neste item estão relacionados todos os recursos mínimos necessários (hardware. O mesmo foi escolhido atendendo com folga as especificações de distância mínima de 500 metros. Paulista. Hardware Servidor de aplicações Servidor de banco de dados Servidor de e-mail Servidor de autenticação Servidor de arquivos Servidor de impressão Computadores pessoais Impressoras Aparelhos telefônicos Software Crm Erp Comunicação Link de acesso a internet E1 telefonia Pessoal Coordenador ou coordenador substituto do plano Presidente Vicepresidente Gestores Funcionários Tabela 24 . software. Faria Lima. gerando uma redundância e total cobertura caso ocorra algum desastre na instalação principal.Ativos . etc) para que o negócio continue funcionando. Devido ao impacto que pode causar aos negócios da empresa. infra-estrutura. O site recebe este nome por ser uma estratégia pronta para entrar em operação assim que uma situação de risco ocorrer. s/n Endereço da contingência: Av. comunicação. Empresa: Candido. foi mantido um “hot-site” em um prédio na Faria Lima para atender às situações de desastre. Carvalho e Vieira Associados Endereço: Av.223 Cenários para Recuperação e Restauração Ambientes Segue abaixo o endereço da Candido. diariamente. pessoal.

acidente. a equipe de gestão de crises deve decidir pela ativação do plano adequado ou aguardar resolução do incidente. . conseqüências para o usuário final. Os eventos são avaliados por probabilidade de ocorrência e seus impactos em pessoas. Esta decisão deve ser baseada em critérios relevantes. como tipo do incidente. ativação do plano e retomada dos negócios. durante e depois da ocorrência de qualquer evento que possa afetar a continuidade dos processos críticos da Organização. ataque. Depois da ocorrência de um evento. na propriedade e no negócio. decisiva. anormal e/ou perigosa que pode afetar processos normais das unidades de negócio e prejudicar a viabilidade da empresa. tempo estimado para resolução do incidente. perturbação grave.224 Desenvolvimento dos Planos no PCN O plano de continuidade de negócios é composto pelos seguintes planos de contingência:      Plano de Administração de Crise Plano de Continuidade Operacional Plano de Recuperação de Disastre Plano de Retorno à Normalidade Plano de Testes e Validações Plano de Administração de Crise Contempla o funcionamento das equipes antes. Pode-se definir um evento de crise como sendo um acontecimento.

Analisar o evento e potenciais impactos. Acionar a árvores de comunicação interna. Pode ou não representar uma ameaça para a empresa. Maximizar a reputação e a imagem da marca da organização através da demonstração de que a empresa possui a capacidade de gerir crises. Divulgar orientações sobre planos de contingências.225 Pode-se classificar o evento de crise em:    Incidente: qualquer evento. provendo continuidade na entrega de serviços. Crise: ameaça concretizada. Atribuições:         Receber primeiramente a informação de uma situação atípica. Entrar em contato com órgãos públicos de auxílio em emergências. A equipe de gestão de crises corporativa é responsável pelo gerenciamento do processo através de uma perspectiva empresarial. Comunicar líder da unidade sobre evento. Mantér comunicação com demais áreas para acompanhamento da evolução do processo. da gerencia de informática e da gerencia de segurança da informação. atuando as seguintes atividades:   Minimizar o impacto de uma crise. . Equipe de gestão de crises A equipe de gestão de crises efetiva deve ter participação de um representante da alta administração. Auxiliar líder da unidade na tomada de decisão. produtos e recursos. Ameaça: incidente que representa grau de risco elevado para a operação normal dos negócios da empresa. de natureza interna ou externa à corporação.

226

 

Sustentar a confiança na empresa para colaboradores, públicos, mercado e clientes; Demonstrar eficiência e foco em um evento de crise perante a mídia, mercado, clientes e órgãos de regulamentação.

Para

prevenir possíveis eventos com potencial de provocar prejuízos

significativos a organização, foi criada procedimentos e medidas com objetivo de minimizar impactos. Este plano também indica as ações que devem ser tomadas no momento do evento que venha a prejudicar a continuidade dos ativos e aplicações da área de Tecnologia da Informação. Neste documento são identificados os responsáveis pela ativação dos Procedimentos de Contingência e o Plano de Recuperação de Desastres, bem como todas as ações que serão executadas. Para executar o plano de gerenciamento logo que a crise é desencadeada primeiramente devem-se acionar os gestores de contingência e os gestores de crises. Nome e telefones do time de Gestores
Nome Endereço Telefone Fixo 38281234 /37772343 38281235 /34444433 38281236/ 23443322 38281237 /21113444 Celular Função

Alexandro

Rua Vergueiro, 210, AP 20

80110011

Gestor de contingência I

Hugo Iida

Rua Vergueiro, 210, AP 30

80110012

Gestor de contingência II

Jair Zepeda

Rua Vergueiro, 210, AP 40

80110013

Gerenciament o de crises I

Rodrigo

Rua Vergueiro, 210, AP 50

80110014

Gerenciament o de crises II

Tabela 25 - Nome e telefones do time de gestores

227

Procedimento para acionamento dos times de contingência Evento parou o ambiente; Caso tenha inviabilizado a estrutura física, é necessário acionar a utilização do backup site, através dos procedimentos descritos no item 3.xxx no plano de contingência, comunicar os gestores de cada área e transferir os colaboradores para o outro local; Caso seja problema de infra-estrutura ou aplicação, deve-se acionar o gerente responsável através de e-mail e telefone; Os gestores de infra-estrutura ou aplicação, são responsáveis em acionar as equipes responsáveis através de e-mail e telefone.

228

Evento parou o ambiente

É um Desastre?

Não

Acionar Gestão de Crises

Infra-Estrutura ou aplicação?

Infra-Estrutura

Sim

Aplicação

Acionar Gestão de Contingência

Acionar o gestor de crise responsável por infra-estrutura.

Acionar o gestor de crise responsável por aplicação.

Inviabilizou o a estrutura física?

Não

Infra-Estrutura ou aplicação?

Acionar equipe responsável pela recuperação dos ativos. Aplicação

Acionar equipe responsável pela recuperação das aplicações.

Sim

Infra-Estrutura

Acionar Backup Site

Verificar procedimentos no PCN.

Verificar procedimentos no PCN.

Comunicar os gestores de cada área

Acionar equipe responsável pela recuperação dos ativos.

Acionar equipe responsável pela recuperação das aplicações.

Transferir os colaboradores para o backup site.

Retornar as atividades

Figura 15 - Procedimento para acionamento dos times de contingência

Procedimentos para Comunicação da Contingência Interno Para comunicação da contingência da estrutura física, é necessário entrar em contato por e-mail e por telefone com o gestor de cada área (Departamento de Pessoas, Departamento de vendas, Departamento de Negócio), comunicando a preparação da equipe para ser transferida de local;

229

Para comunicação da contingência de infra-estrutura e/ou aplicação, é necessário entrar em contato por e-mail e por telefone com o gestor de cada área (Departamento Pessoal, Departamento de vendas, Departamento de Negócio), informando-os sobre a ocorrência e o tempo de resolução; Externo Para comunicação da contingência da estrutura física, é necessário entrar em contato por telefone com a empresa Build Backup para iniciar o procedimento de transferência de local. Deve-se entrar em contato com os clientes por telefone e informá-los sobre a indisponibilidade e razão: Empresa: Packets – Marina Lima – Contato: 3392-1122 Empresa: Uack – Thaís Oliveira – Contato: 2331-4000 Empresa: Jorp – Carolina Marques – Contato: 2111-3000 Para comunicação da contingência de infra-estrutura e/ou aplicação, é necessário entrar em contato por e-mail e por telefone com as empresas: Empresa: Packets – Marina Lima – Contato: 3392-1122 Empresa: Uack – Thaís Oliveira – Contato: 2331-4000 Empresa: Jorp – Carolina Marques – Contato: 2111-3000 Informá-las sobre a indisponibilidade e o tempo de resolução. Relação das ameaças e riscos considerados no plano

230

De acordo com a Tabela abaixo, podem-se analisar as possíveis falhas, riscos e medidas de correção.
RISCO MEDIDA

Falha na energia elétrica

Na falta de energia elétrica os servidores são desligados automaticamente e é ativado automaticamente o sistema de baterias do nobreak por um período de 2:30 horas de autonomia, se ultrapassar este período será utilizado um outro conjunto de baterias por mais 4 horas. Este conjunto de baterias é formado por baterias de caminhão. No caso de a ocorrência ser em feriados ou final de semana os vigilantes devem acionar a equipe de TI pelos telefones celulares.

Falha nas comunicações

Na queda de comunicação de um dos links externos, será ativado automaticamente o link reserva que se encontra na mesma sala de TI. Na possibilidade de queda do link reserva será ativado o sistema de Dial-Backup que se encontra em outra sala. O problema deve ser informado a empresa Linksmart telefone (11) 2122-3222 responsável pelos links da organização. Em caso de princípio de incêndio serão utilizados extintores que ficam do lado de fora da sala de TI e serão chamados os bombeiros ramal 6076.

Falha de incêndio

Falha em equipamentos

Falhas ocorridas em servidores, equipamentos de energia e ativos de rede serão utilizados equipamentos reservas, mantidos em outra sala. Falhas em equipamentos de comunicação (roteadores, modens), serão acionado os serviços de terceiros responsáveis por tais equipamentos, conforme contrato de manutenção. Com o equipamento de backup em mãos, o mesmo deverá ser repassada para a equipe de infra-estrutura para configuração.

Tabela 26 - Riscos e medidas de correção Relação dos ambientes contemplados no plano Este plano aborda planos de contingência e crises da área de Tecnologia da Informação.

Figura 16 . servidores e infra-estrutura dos ativos que são mais relevantes para empresa.Ativos relevantes da empresa . estão listados as aplicações.231 Na figura abaixo.

232 Relação dos times de contingência e crises Com a finalidade de simplificar o contato com os times de contingência e crises. estabelecem-se as aplicações ordenadas por criticidade listadas abaixo:     Sistema de faturamento Sistema de controle de processos jurídico Banco de dados Webmail No caso da indisponibilização do sistema de faturamento deve ser comunicados a parada do sistema aos administradores de redes I e II.Relação dos times de contingência e crise Ambientes e gestores Para fins desse plano de recuperação de desastres. . Gestores de Continuidade Gestores de Crise Alexandro Hugo Jair Rodrigo Build Backup Infra-Estrutura Aplicações Alexandro Marcelo Hugo Figura 17 . No caso da indisponibilização do sistema de controle de processos jurídico. foi relacionado de acordo com a figura da estrutura organizacional. sendo que para execução dos mesmos há um tempo limite de 5 minutos. Seguir procedimentos contidos no documento de “Processos de recuperação”. Para retomada do sistema há um tempo máximo tolerável de 15 minutos.

devem ser comunicados aos administradores de redes. devem ser comunicados ao administrador de banco de dados/desenvolvedor de sistemas e ao administrador de redes I. No caso da indisponibilidade do servidor de e-mail. sendo que para execução do s mesmos há um tempo limite de 5 minutos para execução. Para retomada do sistema há um tempo máximo tolerável de 15 minutos. há um tempo máximo tolerável de 10 minutos.233 devem ser comunicados a ausência do sistema aos administradores de redes. Seguir procedimentos contido no documento de “Processos de recuperação”. e administrador de banco de dados/desenvolvedor de sistemas. Seguir procedimentos contidos no documento de “Processos de recuperação”. sendo que para execução do s mesmos há um tempo limite de 5 minutos para execução. Apresentamos abaixo a matriz de responsabilidades da equipe: Autoridade delegada Administrador de redes I Administrador de redes II Telefones de contato 3828-1234 / 3777-2343 3828-1235 / 3444-4433 Nome Alexsandro Hugo Jair Marcelo Rodrigo Responsabilidade Controle da Infraestrutura / Gestor de contingência I Controle de aplicações / Gestor de contingência II Controle de procedimentos de contingência / Gestor de crises I Controle de documentos do processo de contingência Monitoramento e relatório de contingência / Gestor de crises II Celular 8011-0011 8011-0012 Gerente de Segurança 3828-1236/ 2344-3322 8011-0013 Gerente de TI Administrador de banco de dados / Desenvolvedor de Sistemas 3828-1237 / 2111-3444 8011-0014 3828-1238 / 3122-6555 8011-0015 Tabela 27 . Para retomada do sistema. No caso da indisponibilização do banco de dados. Para retomada do sistema há um tempo máximo tolerável de 10 minutos. sendo que para execução dos mesmos há um tempo limite de 5 minutos.Responsabilidades da equipe . Seguir procedimentos contido no documento de “Processos de recuperação”.

unidades de fita). o outro assume automaticamente no caso da perda de todos os servidores. os mesmos deverão estar assegurados por contrato de manutenção para o devido reparo e/ou substituição até que o problema seja sanado. também chamado Plano B. em função de demasiada lentidão ou perda de desempenho de algum componente do fluxo de processamento. Plano de continuidade operacional Objetivo O plano visa garantir que. No caso do link. que deverá ser solicitada ao Gerente de TI. discos magnéticos. seja ativado um processo alternativo. Os servidores da empresa são redundantes. . existirá sempre um contingência do mesmo. no caso da indisponibilidade de um dos componentes (memória. Caso a indisponibilidade seja em relação a CPU/fonte do servidor. na eventualidade de uma crise. em caso de indisponibilidade de um processo crítico. Os processos mais críticos ao negócio da Candido Carvalho Vieira Associados estão contemplados no sistema ERP e por isso os servidores responsáveis por esse sistema ( servidor de aplicação e servidor de Banco de Dados) deverão ser os primeiros servidores a serem restabelecidos. No caso de sua indisponibilidade. Roteadores e links de comunicação Responsáveis pela interligação externa da empresa. pois em caso de falha de algum. deverá ser utilizado um servidor reserva (há 1 servidor reserva para cada 3) e em último caso. há uma redundância com a empresa Netlinks. solicitar ao Gerente de segurança que entre em contato com a empresa ProcServer através do telefone (11) 2345-7890 para solicitar um servidor temporário.234 Recursos e procedimentos No que diz respeito aos servidores.

235 A tabela abaixo contém os nomes e telefones dos responsáveis pelo restabelecimento desta aplicação: Nome Alexandro Hugo Iida Telefone Fixo 3828-1234 /3777-2343 3828-1235 /3444-4433 Celular 8011-0011 8011-0012 Função Estabelecer a execução da PCO Apoio A sequência para o restabelecimento dos sistemas deverá ser obedecido conforme a seguir:  Ordem 1º Sistema de faturamento Atividade Solicitar os servidores compatíveis com os atualmente em produção no sistema Faturamento e o servidor compatível com o atual servidor de backup Contatar os reponsáveis backup e solicitar a recuperação das últimas mídias Realizar os restore dos dados Realizar os testes de acesso a aplicação Responsável Operação de Redes 2º 3º 4º 5º  Ordem 1º Infra-estrutura Operação de Redes Operação de Redes Operação de Redes Finalizar procedimento e preencher relatório do PCO Sistema de controle de processos jurídico Atividade Solicitar os servidores compatíveis com os atualmente em produção no sistema de processos jurídico e o servidor compatível com o atual servidor de backup Contatar os reponsáveis backup e solicitar a recuperação das últimas mídias Realizar os restore dos dados Realizar os testes de acesso a aplicação Responsável Operação de Redes 2º 3º 4º 5º Infra-estrutura Operação de Redes Operação de Redes Operação de Redes Finalizar procedimento e preencher relatório do PCO .

236  Ordem 1º 2º 3º 4º 5º  Ordem 1º Webmail Atividade Solicitar os servidores compatíveis com os atualmente em produção no sistema ERP e o servidor compatível com o atual servidor de backup Contatar os reponsáveis backup e solicitar a recuperação das últimas mídias Realizar os restore dos dados Realizar os testes de acesso a aplicação Responsável Operação de Redes Infra-estrutura Operação de Redes Operação de Redes Operação de Redes Finalizar procedimento e preencher relatório do PCO Banco de dados Atividade Solicitar os servidores compatíveis com os atualmente em produção no sistema banco de dados e o servidor compatível com o atual servidor de backup Contatar os reponsáveis backup e solicitar a recuperação das últimas mídias Realizar os restore dos dados Realizar os testes de acesso a aplicação Responsável Operação de Redes 2º 3º 4º 5º Infra-estrutura Operação de Redes Operação de Redes Operação de Redes Finalizar procedimento e preencher relatório do PCO  Ordem 1º ERP Atividade Solicitar os servidores compatíveis com os atualmente em produção no sistema ERP e o servidor compatível com o atual servidor de backup Contatar os reponsáveis backup e solicitar a recuperação das últimas mídias Realizar os restore dos dados Realizar os testes de acesso a aplicação Responsável Operação de Redes 2º 3º 4º 5º Infra-estrutura Operação de Redes Operação de Redes Operação de Redes Finalizar procedimento e preencher relatório do PCO .

geralmente seja ativado para que não haja prejuízos operacionais e/ou financeiros. Plano de Recuperação de Desastre Na ocorrência de uma crise. Decidir pela ativação de DR após consulta as áreas de suporte Decidir quais planos serão ativados Notificar as partes pertinentes da declaração de desastre A tomada de decisão pela ativação do Plano de DR ou por solicitações alternativas levará em conta os seguintes fatores:    Componente com problema e importância relativa no processo global. não estão funcionando adequadamente. Prazo para retorno do componente versus tempo de ativação do plano DR. o líder da equipe de gestão de crises encarregado de determinar a extensão ou nível do possível dano e irá declarar desastre. se preciso. caso este plano faça parte do PCN da linha de negócio.237 Aplicabilidade do plano Os procedimentos de contingência desse documento são aplicáveis quando o fluxo normal de processamento é assolado por uma situação de anormalidade de causa desconhecida ou que requeira uma atuação prolongada em que se faz necessário a intervenção para evitar impactos ao negócio. Pode estar associada a contingência local de componente de TI. . Riscos envolvidos. sendo necessário ativar o plano B enquanto o componente de TI é reparado e/ou trocado. O líder irá executar as seguintes tarefas. Acionamento da contingência A contingência de processos de negócio compreende processos críticos que pedem uma situação anormal. requerendo que um processo manual. podendo ser necessário também a ativação do plano de contingência de local de CPD.

Aguardar o momento de retorno do mesmo ao ambiente operacional Responsável Operação de Redes Infra-estrutura Operação de Redes Operação de Redes Operação de Redes Operação de Redes . que deverão ser acionados pelo responsável pelo Plano de Gerenciamento de Crises: Nome Alexandro Hugo Iida Telefone Fixo 3828-1234 /3777-2343 3828-1235 /3444-4433 Celular 8011-0011 8011-0012 Função Principal Substituto Os ativos que fazem parte desse plano estão listados abaixo:      Server BD Switch Router Link Embratel 10 Mbps Server/BD/Switch/Router Ordem 1º 2º 3º 4º 5º 6º Atividade Solicitar novo equipamento ao fornecedor. a fim de restabelecer o ambiente e as condições originais de operação. no menor tempo possível.238 Depois de disparado o processo de contingência pelo líder da equipe de Gestão de Crises. de acordo com o contrato de manutenção (System Support – 0800 129 8700) Instalar novo equipamento no mesmo local no equipamento indisponível Verificar qual elemento está indisponível e recuperar seu último backup válido do sistema de backups Ativar o último backup de configuração no novo equipamento Validar a instalação do novo equipamento Finalizar procedimento e preencher relatório do PRD. Na tabela abaixo temos os responsáveis por este PRD. os grupos de suporte deverão reunir-se na central de contingência para execução dos procedimentos. Este documento tem o propósito de definir um plano de recuperação e restauração das funcionalidades dos ativos afetados que suportam o sistema Candido Carvalho e Vieira Associados .

Líder se refere ao coordenador do plano de gestão de crises. Etapa 2: Disparo da Migração Líder: após decisão pela ativação do plano de DR. As equipes envolvidas no DR deverão dirigir-se a central de contingência para execução dos procedimentos. são responsáveis pela execução dos procedimentos das áreas seguindo etapas abaixo: Etapa 1: Decisão pela ativação do plano Líder: tomada de decisão pela ativação do plano de DR. Equipe se refere as equipes envolvidas no DR. será efetuada a notificação para todas as equipes para que possam iniciar os devidos procedimentos. baseada nas informações retornadas pelos gestores responsáveis pelas diversas áreas afetadas. Aguardar o momento de retorno do mesmo ao ambiente operacional Responsável Operação de Redes 2º Operação de Redes 3º Operação de Redes Roteiro do plano O plano de DR está estruturado em 8 fases distintas. Os superiores envolvidos também deverão ser notificados.239 LINK-Embratel-10 Mbps Ordem 1º Atividade Entrar em contato com o provedor de serviços solicitando o reparo do link (NET LINK – 0800 785 2000) Aguardar contato da provedora sobre a reparação do serviço e realizar testes para confirmar a disponibilidade do mesmo Finalizar procedimento e preencher relatório do PRD. . que deverá zelar pela correta execução das etapas e pela comunicação entre as áreas envolvidas. A cada atividade dentro de uma fase está associado um responsável.

para a execução dos testes de funcionalidade. deverá ser notificada a entidade que o requisitou.240 Etapa 3: Procedimentos de Migração Equipes: cada uma das equipes envolvidas no DR deverá executar o seu respectivo procedimento. seja ele o líder da equipe de gestão de crises ou de uma outra equipe envolvida no DR responsável por um procedimento. o líder da equipe de gestão de crises irá notificar casa responsável por procedimento. Etapa 5: Disparo dos testes de funcionalidade Líder: após o ciclo de procedimentos e notificações. Etapa 6: Procedimentos de validação Equipe: execução dos testes de funcionalidade do ambiente Etapa 7: Notificação de sucesso da validação Equipes: retorno da avaliação de funcionalidade Etapa 8: Liberação do ambiente Líder: liberação do ambiente para as áreas usuários . Etapa 4: Notificação de sucesso da migração Equipe: após a completa execução do procedimento. conforme requisição do líder do seu time ou por outra equipe.

241 Plano de Retorno à Normalidade No momento em que as áreas responsáveis pela operação identificarem a possibilidade de retorno ao site principal. reflexo para o usuário final e tempo estimado para o retorno. deverá ser feita a comunicação para os gestores que por sua vez deverão informar a gerência de segurança da informação o horário de retorno da área ao site principal. Esse retorno deverá ser realizado preferencialmente em final de semana. O retorno para o site principal é um processo tão complexo quanto o Disaster Recovery. Após avaliação da extensão do desastre que causou a ativação do plano de Disaster Recovery a gerência de segurança da informação em conjunto com as outras áreas da empresa deverá avaliar o tempo necessário para tornar as instalações da empresa novamente operacional. somente com a diferença que o retorno é efetuado sob condições normais de funcionamento dos ambientes dos dois sites. A decisão pelo retorno deve levar em conta fatores como disponibilidade total do site primário. embora possam existir casos específicos com possibilidade de retorno em horários diferenciados. Para retorno ao site principal é necessária apenas a interrupção do direcionamento das linhas telefônicas para o site de contingência (somente nos casos em que tenha sido necessário o direcionamento). Quanto as estações de trabalho. o líder de gestão de crise deverá anunciar as equipes envolvidas do DR. Em seguida será iniciado o processo de remontagem dos ambientes de produção e preparação para o retorno a instalação principal da empresa. para preparem a migração dos ambientes produtivos. com tempo para programação das atividades necessárias: . apenas o desligamento dos equipamentos por parte dos colaboradores. não existe nenhum procedimento a ser executado. Após avaliações e decisão pelo retorno ao ambiente de produção.

A periodicidade dos testes de recuperação de disastre deve ser anual ou após alguma mudança significativa no ambiente de produção ou de contingência da linha do negócio. com freqüência dependendo do componente em questão. Eles deve ser executados de acordo com o procedimento e planejamento definidos em documentos. Testes de Funcionalidade Os testes de funcionalidade tem por objetivo validar todos os recursos da linha de negócio que foram disponibilizados em contingência. em conjunto com o gerente) se deverá ou não ser executada a nova . Se necessário. Plano de contingência de local de trabalho são realizados periodicamente com datas definidas entre a gerência de segurança da informação e áreas gestoras.242 Retomadas da duplicação dos dados de site recovery para o site principal Aplicação dos boots nas máquinas Ativação dos produtos Ativação dos ambientes produtivos Plano de Testes e Validação do PCN A única forma de validar o funcionamento do plano e confirmar sua eficiência é por meio de testes. Testes mais abrangentes. deverão ser executados em partes para que tornem viável o teste completo da linha de negócio no final. Qualquer execução que não esteja no documento e que se fizer necessária na hora do teste deverá ser informada ao analista responsável da gerência de segurança da informação e ele deverá verificar a real necessidade tornando uma decisão (caso necessário. simulando um cenário de desastre e compreendendo todos componentes devem ser executados a cada 12 meses. a gerência de segurança da informação deve acompanhar cada teste com estes documentos em mãos verificando se a seqüência e o procedimento estão sendo executados corretamente. Testes parciais de componentes individuais devem ser feitos regularmente.

Testes de desempenho Os testes de desempenho deverão seguir o mesmo procedimento do teste de funcionalidade. devendo ser executado de acordo com a necessidade de cada linha do negócio. O Plano de Continuidade deve ser testado periodicamente a fim de garantir que sua informação seja recuperada dentro de um tempo máximo permitido. Relatório dos resultados O relatório de resultados deve ser preenchido logo após o término dos testes. As datas devem ser marcadas de modo que os testes não afetem o ambiente de produção. este deverá apresentar um substituto e informar os outros para uma rápida localização em caso de necessidade. caso não seja possível a presença de um determinado participante.243 seqüência anotando e incluindo no procedimento e no planejamento o que foi executado. Todos os envolvidos no projeto deverão estar presentes. Nele deverá ser informado todo o histórico do teste como:          Descrição do ambiente testado Cópia do e-mail de divulgação do resultado do teste Principais horários das macro-atividades Atividades realizadas Problemas ocorridos durante o teste e a solução acionada Relação dos participantes do teste Problemas ocorridos durante o teste e a solução acionada Relação dos participantes do teste Evidencias do teste .

As atualizações regulares do plano de contingência são de importância fundamental para alcançar a sua efetividade. Deve existir uma programação que especifique a forma de se proceder a manutenção do plano que deve ocorrer anualmente.244 Manutenção do plano Mudanças que tenha ocorrido e que não estejam contempladas no plano de continuidade de negócios devem gerar atualizações. aquisições de equipamentos. . Quando novos requisitos forem identificados. Na legislação. de pessoas envolvidas e responsabilidades. migração de sistemas de grande porte para ambiente cliente-servidor). Em prestadores de serviço. tais como as mudanças:  No parque ou ambiente computacional (ex.        Administrativas. atualizações de sistemas operacionais. Na localização e instalações. Diversas situações podem demandar atualizações no plano. fornecedores e clientes chave De processos (inclusões e exclusões) No risco (operacional e financeiro). De estratégia de negócio. os procedimentos de emergência relacionados devem ser ajustados de forma apropriada.

um ano após a aplicação da primeira análise de risco. 7. verificando todos os pontos de melhorias implementados. Esta análise tem o intuito de comparar os dados da análise de risco inicial. O principal objetivo da reaplicação é quantificar os resultados e identificar novas melhorias que devem ser reaplicadas para manter a redução de riscos e vulnerabilidades.Usuários Possuem conhecimentos da política de segurança aplicada no ambiente? Participam de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Os usuários tem conhecimento sobre a utilização dos equipamentos e sistemas de informática? Há controles para instalação de software pirata? Há monitoramento na rede para identificar acessos não permitidos? Os recursos anti-malware estão configurados de modo que os usuários não possam desabilita-los? Os incidentes de segurança são comunicados pelos usuários? Utilizam criptografia em dispositivos removiveis? Sim x x Não Ameaça Vazamento de Informações Vazamento de Informações Acesso lógico não autorizado Vazamento de Informações Violação de propriedade intelectual Vazamento de Informações Controle Implementado Divulgação das politicas de segurança aplicada no ambiente Politicas de segurança da informação (Normas Gerais para usuários) Politicas de segurança da informação (Normas Gerais para usuários) 3 x 4 x 5 6 x x Politicas de segurança da informação (Normas Gerais para usuários) Projetos de correção de estrutura lógica 7 x Vazamento de Informações Falha em meios de comunicação Vazamento de Informações 8 9 x x . apresentando junto à diretoria da empresa a redução no índice de riscos e vulnerabilidades. .245 CAPITULO VII O capitulo em epígrafe foi escrito pelo Security Office após 12 meses da primeira análise de riscos. # 1 2 Segurança Administrativa .a aplicação dos checklists de segurança lógica Utilizando-se da mesma metodologia inicial. a mesma foi aplicada no ambiente corporativo como parte da análise de risco final. ANÁLISE DE RISCO FINAL A análise de risco final se trata da reaplicação da metodologia determinada para a análise de risco.

Diretores e Gerentes Possuem conhecimentos da política de segurança aplicada no ambiente? Participam de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? Sim x Não Ameaça Vazamento de informações Vazamento de informações Acesso lógico não autorizado Vazamento de informações Vazamento de informações Controle Implementado Campanhas de Divulgação da Politica de Segurança x x x x 3 4 5 Politicas de segurança da informação (Normas Gerais para usuários) Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica # 1 Segurança Administrativa .Presidente O presidente participa de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma política de continuidade de negócios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgação da segurança da informação? A segurança da informação é considerada como um pré-requisito antes ou durante a estratégia de negócio e planejamento das atividades? A segurança da informação faz parte dos ciclos do negócio? Existe comite de segurança? Participa do comite de segurança? Sim Não x Ameaça Vazamento de informações Acesso lógico não autorizado Vazamento de informações Controle Implementado x x x x 2 3 4 5 Politicas de segurança da informação (Normas Gerais para usuários) Projetos de correção de estrutura lógica Vazamento de informações Indisponibilidade de serviços ou informações Multas.246 # 1 2 Segurança Administrativa . indenizações ou sanções Plano de Continuidade dos Negócios x 6 7 x Vazamento de informações x Indisponibilidade de serviços ou informações x x x Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha em meios de comunicação 8 9 10 11 .

Sala de Reunião Possui controle de acesso? Possui controle de utilização? Possui acústica? Possui algum controle para a identificação dos participantes? Sim x Não Ameaça Acesso físico não autorizado Acesso físico não autorizado Vazamento de informações Acesso físico não autorizado Controle Implementado Projetos de correção para estrutura física x x x Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica .Ar Condicionado Possui manutenção periódica? Possui controle de temperatura? Sim Não x Ameaça Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Controle Implementado x # 1 2 3 4 Segurança Física .Elevadores Possui câmera de vigilância? Possui manutenção periódica? Possui telefone para comunicação com o porteiro em caso de emergência? Possui controle de temperatura? Possui iluminação de emergência? Possui geradores e estabilizador de tensão para caso de falta de energia? Sim x x Não Ameaça Acesso físico não autorizado Indisponibilidade de serviços ou informações Controle Implementado Projetos de correção para estrutura física x x x x Dano à integridade física de pessoas Dano a equipamentos ou instalações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações # 1 2 Segurança Física .Prédio Possui estabilizadores de tensão? Possui estabilizadores de tensão? Possui geradores de energia? Possui sistema para identificação de funcionários e visitantes para acesso? Possui porteiro? Possui vigilância? Possui extintores de incêndio e sprinklers? Possui plano de abandono de área em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergência? Possui portas e janelas antifogo? Sim x x x x x x x x x x x x Não Ameaça Indisponibilidade de serviços ou informações Dano a equipamentos ou instalações Indisponibilidade de serviços ou informações Acesso físico não autorizado Acesso físico não autorizado Acesso físico não autorizado Incêndio Dano à integridade física de pessoas Acesso físico não autorizado Acesso físico não autorizado Dano à integridade física de pessoas Dano à integridade física de pessoas Controle Implementado Projetos de correção para estrutura física Projetos de correção para estrutura física Projetos de correção para estrutura física Projetos de correção para estrutura física Projetos de correção para estrutura física Projetos de correção para estrutura física Política de Contingência de Negócios Projetos de correção para estrutura física Projetos de correção para estrutura física Projetos de correção para estrutura física Projetos de correção para estrutura física # 1 2 3 4 5 6 Segurança Física .247 # 1 2 3 4 5 6 7 8 9 10 11 12 Segurança Física .

Sala de Servidores Possui controle de acesso? Possui controle de incêndio apropriado? Possui controle de incêndio apropriado? Possui controle de temperatura? Existe controle de umidade das sala? Existe controle de variações de voltagem na rede elétrica? Possui monitoração CFTV? As filmagens são retidas por mais de 30 dias? Existe sistema de detecção de fumaça? Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e elétricos estão sob o piso falso? Existes canaletas separadas para cabos de dados e elétricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem é autorizado a pegar chaves dos racks? Existe controle de quem é autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz está estruturado e identificado? O cabeamento de energia está estruturado e identificado? Existe controle para medir a utilização de elétrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que não foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emissão de aviso sonoro em caso de incidentes? Sim x x x x x x Não Ameaça Acesso físico não autorizado Incêndio Dano a integridade física de pessoas Extremo de temperatura ou umidade Extremo de temperatura ou umidade Dano a equipamentos ou instalações Acesso físico não autorizado Perda de rastreabilidade Incêndio Indisponibilidade de serviços ou informações Dano a equipamentos ou instalações Dano a equipamentos ou instalações Acesso lógico não autorizado Controle Implementado Projetos de correção para estrutura física Projetos de correção para estrutura física Projetos de correção para estrutura física Projetos de correção para estrutura física x x x x Projetos de correção para estrutura física 11 12 13 14 15 16 17 18 19 20 21 22 23 24 x x x x x x x x x x x x x x Acesso físico não autorizado Acesso físico não autorizado Perda de rastreabilidade Furto ou roubo de ativos Perda de rastreabilidade Perda de rastreabilidade Queda de performance ou falta de capacidade Dano a equipamentos ou instalações Furto ou roubo de ativos Dano à integridade física de pessoas Dano à integridade física de pessoas Projetos de correção para estrutura física Projetos de correção para estrutura física Projetos de correção para estrutura física .248 # 1 2 3 4 5 6 7 8 9 10 Segurança Física .

249 # 1 2 3 4 5 6 7 8 9 Segurança Lógica .Servidor de Email Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Sim x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Procedimentos para atualização de Paths Procedimentos para atualização de Paths Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Politicas de segurança da informação (Normas Gerais para Técnicos) x x Acesso lógico não autorizado Indisponibilidade de serviços ou informações Interceptação de dados não autorizada Ação de código malicioso x Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações x x Acesso físico não autorizado Vazamento de Informação Perda de rastreabilidade Indisponibilidade de serviços ou informações Queda de performance ou falta de capacidade Indisponibilidade de serviços ou informações Ação de código malicioso Vazamento de Informação 10 Possui política de backup? x 11 12 13 Possui política para utilização e atualização das mídias de backup? Possui fonte redundante? Possui fonte redundante? x x x 14 Possui espelhamento de HDs? x 15 Os equipamentos possuem manutenção? x Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) 16 Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias de backup? Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? x 17 x 18 19 20 21 x x Projetos de correção de estrutura lógica 22 Existem monitorações de performance? x 23 24 25 Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? x x x .

250 # 26 27 28 Segurança Lógica .Servidor de Email Possui Firewall instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingência documentado? O recurso de relay está desabilitado? Possui limite para o tamanho de caixa por usuário? Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? Sim x x x Não Ameaça Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação Ação de código malicioso Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica 29 x 30 31 x x Politica de continuidade de negócios Projetos de correção de estrutura lógica Politicas de segurança da informação (Normas para uso correio eletrônico) Politicas de segurança da informação (Normas para uso correio eletrônico) Politicas de segurança da informação (Normas para uso correio eletrônico) 32 x 33 x 34 x # 1 2 3 4 5 6 7 8 9 10 Segurança Lógica .Servidor de Arquivos Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias de backup? Possui fonte redundante? Possui fonte redundante? Sim x x x x x x x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Ação de código malicioso Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Procedimentos para atualização de Paths Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica 11 12 13 x x x Politicas de segurança da informação (Normas Gerais para Técnicos) 14 Possui espelhamento de HDs? x Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Politicas de segurança da informação (Normas Gerais para Técnicos) 15 Os equipamentos possuem manutenção? x .

251 # 16 Segurança Lógica .Servidor de Arquivos Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias de backup? Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Sim x Não Ameaça Acesso físico não autorizado Indisponibilidade de serviços ou informações Controle Implementado 17 x Politicas de segurança da informação (Normas Gerais para Técnicos) 18 19 20 21 x x x x Acesso físico não autorizado Vazamento de Informação Perda de rastreabilidade Indisponibilidade de serviços ou informações Queda de performance ou falta de capacidade Ação de código malicioso Indisponibilidade de serviços ou informações Ação de código malicioso Vazamento de Informação Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação Indisponibilidade de serviços ou informações Projetos de correção de estrutura lógica 22 23 24 25 26 27 28 29 30 31 Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Possui limite de espaço por usuário configurado? x x x x x x x x x x Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica # 1 2 3 4 5 6 7 8 Segurança Lógica .Servidor de Serviço de Diretório Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Sim x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha de Energia Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Procedimentos para atualização de Paths Procedimentos para atualização de Paths Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Politicas de segurança da informação (Normas Gerais para Técnicos) x x x x x x 9 10 x x .

Servidor de Serviço de Diretório Possui fonte redundante? Sim x Não Ameaça Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Controle Implementado 11 12 Possui espelhamento de HDs? x 13 Os equipamentos possuem manutenção? x Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) 14 Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? x 15 x 16 17 18 19 20 21 22 23 24 25 26 27 Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? x x x x x x x x Acesso físico não autorizado Vazamento de Informação Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Ação de código malicioso Vazamento de Informação Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações x x x x Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Vazamento de Informação # 1 2 3 4 5 6 7 8 Segurança Lógica .252 # Segurança Lógica .Servidor de DNS Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Sim x x x x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Interceptação de dados não autorizada Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Procedimentos para atualização de Paths Procedimentos para atualização de Paths x Projetos de correção de estrutura lógica .

Servidor de DNS Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui fonte redundante? Sim x Não Ameaça Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Controle Implementado 10 11 12 x x x Politicas de segurança da informação (Normas Gerais para Técnicos) 13 Possui espelhamento de HDs? x 14 Os equipamentos possuem manutenção? x Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) 15 Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? x 16 x 17 18 19 20 21 22 23 24 25 26 27 Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? O serviço DNS possui transferência de zona restrita? O serviço DNS possui recursividade habilitada? x x x x x x x x Acesso físico não autorizado Vazamento de Informação Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Ação de código malicioso Vazamento de Informação Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Vazamento de informação Indisponibilidade de serviços ou informações x x x Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica 28 29 30 x x Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica x .253 # 9 Segurança Lógica .

254 # 1 2 3 4 5 6 7 8 9 Segurança Lógica .Servidor de Banco de Dados Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui fonte redundante? Sim x x x x x x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Procedimentos para atualização de Paths Procedimentos para atualização de Paths Projetos de correção de estrutura lógica 10 11 12 x x x Politicas de segurança da informação (Normas Gerais para Técnicos) Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) 13 Possui espelhamento de HDs? x 14 Os equipamentos possuem manutenção? x 15 Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? x 16 x 17 18 19 20 21 22 23 24 25 x x x x x x x x x Acesso físico não autorizado Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica .

255 # 26 27 Segurança Lógica .Servidor de Banco de Dados Existem mais que 1 usuário para administratar o banco de dados? O usuário do serviço de Banco de Dados possui política de senha? Sim x x Não Ameaça Acesso lógico não autorizado Acesso lógico não autorizado Controle Implementado Projetos de correção de estrutura lógica # 1 2 3 4 5 6 7 8 9 Segurança Lógica .Servidor Web Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui fonte redundante? Sim x x x x x x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Procedimentos para atualização de Paths Procedimentos para atualização de Paths Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Politicas de segurança da informação (Normas Gerais para Técnicos) 10 11 12 x x x Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) 13 Possui espelhamento de HDs? x 14 Os equipamentos possuem manutenção? x 15 Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? x 16 x 17 18 19 20 21 x x x x x Acesso físico não autorizado Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Politicas de segurança da informação (Normas Gerais para Técnicos) 22 Possui Firewall pessoal instalado? x .

Servidor ERP Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui fonte redundante? Sim x x x x x x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Procedimentos para atualização de Paths Procedimentos para atualização de Paths Procedimentos para atualização de Paths 10 11 12 x x x Politicas de segurança da informação (Normas Gerais para Técnicos) Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) 13 Possui espelhamento de HDs? x 14 Os equipamentos possuem manutenção? x 15 Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias? x 16 x 17 18 Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? x x Acesso físico não autorizado Perda de rastreabilidade .Servidor Web Possui Firewall instalado? Sim x Não Ameaça Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação Controle Implementado Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) 24 Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? O serviço IIS possui recurso Front Page extensions desabilitado? O serviço IIS possui banner desabilitado? O serviço IIS possui recurso webdav desabilitado? x 25 26 27 28 x x x x # 1 2 3 4 5 6 7 8 9 Segurança Lógica .256 # 23 Segurança Lógica .

Servidor ERP Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Sim Não x x x x x x x Ameaça Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica # 1 2 3 4 5 6 7 8 9 Segurança Lógica .257 # 19 20 21 22 23 24 25 Segurança Lógica .Servidor Citrix Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Sim x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Procedimentos para atualização de Paths Procedimentos para atualização de Paths Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica x x x x x x 10 Possui política para utilização e atualização das mídias? Possui fonte redundante? x 12 13 Possui fonte redundante? Possui espelhamento de HDs? x 14 Os equipamentos possuem manutenção? x x x Politicas de segurança da informação (Normas Gerais para Técnicos) 11 Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) 15 Existem locais adequados para os servidores? x Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? 16 x Indisponibilidade de serviços ou informações x Acesso físico não autorizado 17 .

258 # 18 19 20 21 22 23 24 25 Segurança Lógica .Servidor Citrix Existem coleta e controle dos logs? Existem monitorações de performance? Sim Não x x Possui antivirus instalado? Possui IDS/IPS instalado? x Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? x x x x Ameaça Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica x Vazamento de Informação # 1 2 3 4 Segurança Lógica .Estação de Trabalho Possui política de senha? Possui alguma política de senha? Sim x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Indisponibilidade de serviços ou informações Interceptação de dados não autorizada Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Vazamento de Informações Vazamento de Informações Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Procedimentos para atualização de Paths Possui política de log? Possui política de atualização de patches? 5 6 7 Possui modem? 8 9 10 Os equipamentos possuem manutenção? 11 12 Possui IDS/IPS instalado? 13 Possui Firewall pessoal instalado? 14 15 Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Possuem política de utilização dos equipamentos? x x x Possui antivirus instalado? x x Possui USB habilitado? Possui CDROM habilitado? x x x Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? x x Projetos de correção de estrutura lógica Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) x .

Switch Possui alguma política de senha? Possui alguma política de senha? Sim x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Procedimentos para atualização de Paths Procedimentos para atualização de Paths Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? x x x x .Notebook Possui política de senha configurada? Possui alguma política de senha? Sim x x x x x x x x x x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Vazamento de Informações Vazamento de Informações Interceptação de dados não autorizada Ação de código malicioso Vazamento de Informações Acesso não autorizado Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação Indisponibilidade de serviços ou informações Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Procedimentos para atualização de Paths Procedimentos para atualização de Paths Projetos de correção de estrutura lógica Possui política de contas? Possui política de log configurada? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui política para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configuração e instalação não seja padrão? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada? Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Politicas de segurança da informação (Normas Gerais para Técnicos) 14 Os equipamentos possuem manutenção? 15 16 Possui IDS/IPS instalado? 17 18 19 20 Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Possuem política de utilização dos equipamentos? Possui antivirus instalado? x x x x x x Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica x x 21 Politicas de segurança da informação (Normas Gerais para Técnicos) # 1 2 3 4 5 6 Segurança Lógica .259 # 1 2 3 4 5 6 7 8 9 10 11 12 13 Segurança Lógica .

Switch 7 8 9 Possui controles para que a configuração e instalação não seja padrão? Possui restrição de acesso à console de administração? Possui controle para que não seja utilizado usuários padrões? Sim x x Não Ameaça Interceptação de dados não autorizada Acesso lógico não autorizado Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Controle Implementado Projetos de correção de estrutura lógica x 10 Possui fonte redundante? 11 Possui porta console desabilitada para administração? x x 12 Os equipamentos possuem manutenção? 13 14 Existem monitorações de segurança? 15 16 Existem monitorações de performance? 17 Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Possui o serviço HTTP para administração desabilitado? x x Existem coleta e controle dos logs? x x Existem locais adequados para armazenar os switches? x x Politicas de segurança da informação (Normas Gerais para Técnicos) Acesso físico não autorizado Indisponibilidade de serviços ou informações Perda de rastreabilidade Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Projetos de correção de estrutura lógica x x Politicas de segurança da informação (Normas Gerais para Técnicos) 18 19 20 Acesso físico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso lógico não autorizado Acesso lógico não autorizado Possui o serviço SNMPdesabilitado? 21 Possui o serviço DHCP habilitado? 22 Possui o serviço DNS desabilitado? 23 24 Possui suporte à tecnologia 802.Roteador Possui alguma política de senha? Possui alguma política de senha? Sim x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Procedimentos para atualização de Paths Procedimentos para atualização de Paths Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? x x x .1x está desabilitada? x x x x x x Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica # 1 2 3 4 5 6 7 Segurança Lógica .260 Segurança Lógica .1x? A funcionalidade 802.

Roteador 8 9 Possui usuários padrões? 10 11 12 Possui fonte redundante? Possui porta console desabilitada para administração? Possui porta auxiliar desabilitado? Possui restrição de acesso à console de administração? Sim x Não x x x x Ameaça Acesso lógico não autorizado Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Acesso físico não autorizado Indisponibilidade de serviços ou informações Acesso físico não autorizado Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Politicas de segurança da informação (Normas Gerais para Técnicos) Politicas de segurança da informação (Normas Gerais para Técnicos) 13 O equipamento possui manutenção? 14 Existem locais adequados para armazenar o roteador? x x Indisponibilidade de serviços ou informações Perda de rastreabilidade Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações x x Acesso físico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações 15 Existem monitorações de segurança? 16 17 Existem monitorações de performance? 18 Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Possui o serviço HTTP para administração desabilitado? x Existem coleta e controle dos logs? x x Projetos de correção de estrutura lógica x Politicas de segurança da informação (Normas Gerais para Técnicos) 19 20 21 Possui o serviço SNMP desabilitado? 22 Possui o serviço DHCP desabilitado? 23 Possui o serviço DNS desabilitado? 24 Existe equipamento de backup? x x x x Projetos de correção de estrutura lógica # 1 2 3 4 5 6 7 Segurança Lógica .Servidor de Impressão Possui alguma política de senha? Possui alguma política de senha? Sim x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Procedimentos para atualização de Paths Procedimentos para atualização de Paths Projetos de correção de estrutura lógica Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? x x x .261 Segurança Lógica .

Servidor de Impressão Possui restrição de acesso à console de administração? Sim x Não Os equipamentos possuem manutenção? 10 11 Existem monitorações de segurança? 12 13 Existem monitorações de performance? 14 Possui o serviço SNMP desabilitado? Existem coleta e controle dos logs? Existem locais adequados para armazenamento das impressoras? x x x x Ameaça Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações Perda de rastreabilidade Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica x x # 1 2 3 4 5 Segurança Lógica .Smartphone Possui política de senha? Possui alguma política de senha? Sim x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Interceptação de dados não autorizada Interceptação de dados não autorizada Vazamento de Informações Acesso lógico não autorizado Indisponibilidade de serviços ou informações Perda de Rastreabilidade Indisponibilidade de serviços ou informações Interceptação de dados não autorizada Controle Implementado Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Procedimentos para atualização de Paths Possui política de contas? Possui política de log? Possui política de atualização de patches? 6 7 8 9 Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo? x x x x x Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica 10 11 12 Possui o serviço Bluetooth desabilitado? 13 Possui o serviço Infrared desabilitado? x x Os equipamentos possuem manutenção? Os equipamentos possuem controle de patrimônio? x x Politicas de segurança da informação (Normas Gerais para Técnicos) .262 # 8 9 Segurança Lógica .

263 # 1 2 Segurança Lógica . técnico ou desenvolvedor tem acesso) Portas não utilizadas são bloqueadas por default? Protocolos não utilizados são bloqueados por default? Existe configuração de "logout" automático? As regras de acesso são as mais específicas possíveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteção contra IP spoofing? Possui mecansmo de proteção contra ataques do tipo ICMP? Possui mecanismo de proteção contra ataques do tipo Teardrop? x x x x x x x x x Erros ou omissões Erros ou omissões x x Acesso lógico não autorizado Acesso lógico não autorizado Acesso lógico não autorizado Acesso lógico não autorizado Projetos de correção de estrutura lógica 17 x x x x x x x 18 19 20 21 22 23 24 25 Acesso físico não autorizado Acesso lógico não autorizado Acesso lógico não autorizado Acesso lógico não autorizado Acesso lógico não autorizado Perda de rastreabilidade Perda de rastreabilidade Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica x 26 x 27 O equipamento possui fontes redundantes? x .Firewall Existe controle de acesso onde está instalado o firewall? Sim x Não Ameaça Acesso físico não autorizado Indisponibilidade de serviços ou informações Perda de rastreabilidade Perda de rastreabilidade Perda de rastreabilidade Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Erros ou omissões Ação de código malicioso Ação de código malicioso Controle Implementado Projetos de correção de estrutura fisica Procedimentos para atualização de Paths Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Projetos de correção de estrutura lógica Politicas de segurança da informação (Normas Gerais para Técnicos) Os "updates" e "patches" estão atualizados? 3 4 5 A auditoria do firewall está habilitada? Os logs do equipamento são gravados em um servidor de log? É realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? O firewall recebe uma manutenção periódica? x x x x 6 x 7 Existe firewall reserva em caso de quebra ? 8 9 10 11 12 13 14 15 16 Existe documentação de como o firewall está configurado? O firewall possui antivirus instalado? O antivirus é atualizado regularmente? Existe uma política de verificação periódica das políticas configuradas? É feito backup das configurações do equipamento cada vez que são feitas alterações no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall é feito através do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? A senha é trocada periodicamente? O acesso ao equipamento é de acesso exclusivo aos administradores da rede? (Nenhum estagiário.

Diretores e Gerentes Possuem conhecimentos da política de segurança aplicada no ambiente? Participam de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Utilizam senha forte? Utilizam criptografia em dispositivos removiveis? x x x # 1 2 3 4 5 Sim x Não Ameaça Vazamento de informações Vazamento de informações Acesso lógico não autorizado Vazamento de informações Vazamento de informações VA 5 5 5 5 5 PA 5 5 5 5 5 PV 5 5 5 5 5 S 5 5 5 5 5 Risco x 625 Total 625 .Firewall O equipamento possui contrato de manutenção? Existe acompanhamento periódico da utilização de recursos (capacidade) do equipamento? Sim Não x Ameaça Indisponibilidade de serviços ou informações Queda de performance ou falta de capacidade Controle Implementado 29 x Politicas de segurança da informação (Normas Gerais para Técnicos) Tabela 28 . foi calculado novamente o risco encontrado no cenário do ambiente atual.Usuários Possuem conhecimentos da política de segurança aplicada no ambiente? Participam de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Os usuários tem conhecimento sobre a utilização dos equipamentos e sistemas de informática? Há controles para instalação de software pirata? Há monitoramento na rede para identificar acessos não permitidos? Os recursos anti-malware estão configurados de modo que os usuários não possam desabilita-los? Os incidentes de segurança são comunicados pelos usuários? Utilizam criptografia em dispositivos removiveis? Sim x x x x x x Não Ameaça Vazamento de Informações Vazamento de Informações Acesso lógico não autorizado Vazamento de Informações Violação de propriedade intelectual Vazamento de Informações VA 4 4 4 4 4 4 4 4 4 PA 5 5 5 5 5 5 5 4 5 PV 5 5 5 5 5 5 3 4 4 S 5 5 5 5 5 5 4 5 4 Risco x x x Vazamento de Informações Falha em meios de comunicação Vazamento de Informações 240 320 320 880 Total Segurança Administrativa .Analise de riscos final Cálculo de Risco Utilizando-se da mesma metodologia da análise de riscos inicial. # 1 2 3 4 5 6 7 8 9 Segurança Administrativa .264 # 28 Segurança Lógica .

indenizações ou sanções Vazamento de informações VA 5 PA 5 PV 4 S 4 Risco 400 x x x x 5 5 5 5 5 5 5 5 4 4 5 5 5 5 4 5 500 6 7 x x 5 5 3 5 5 5 5 5 625 8 9 10 11 x x x x Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha em meios de comunicação 5 5 5 5 5 5 5 4 Total 4 3 4 4 4 3 4 5 400 225 400 400 2950 # 1 2 3 Segurança Física .265 # 1 2 3 4 5 Segurança Administrativa .Presidente O presidente participa de treinamentos de segurança? Há campanhas de conscientização aos usuários sobre compartilhamento de senhas? Utilizam senha forte? Utiliza criptografia em dispositivos removiveis? A empresa possui uma política de continuidade de negócios? Na empresa existe um gerenciamento institucionalizado para garantir conformidade com as leis? Ajuda na divulgação da segurança da informação? A segurança da informação é considerada como um pré-requisito antes ou durante a estratégia de negócio e planejamento das atividades? A segurança da informação faz parte dos ciclos do negócio? Existe comite de segurança? Participa do comite de segurança? Sim Não x Ameaça Vazamento de informações Acesso lógico não autorizado Vazamento de informações Vazamento de informações Indisponibilidade de serviços ou informações Multas.Prédio Possui estabilizadores de tensão? Possui estabilizadores de tensão? Possui geradores de energia? Possui sistema para identificação de funcionários e visitantes para acesso? Possui porteiro? Possui vigilância? Possui extintores de incêndio e sprinklers? Possui plano de abandono de área em caso de desastres? Possui CFTV? Possui controle de acesso nos andares? Possui escada de emergência? Possui portas e janelas antifogo? Sim x x x Não Ameaça Indisponibilidade de serviços ou informações Dano a equipamentos ou instalações Indisponibilidade de serviços ou informações Acesso físico não autorizado Acesso físico não autorizado Acesso físico não autorizado Incêndio Dano à integridade física de pessoas Acesso físico não autorizado Acesso físico não autorizado Dano à integridade física de pessoas Dano à integridade física de pessoas VA 4 4 4 PA 5 4 5 PV 1 1 2 S 5 5 5 Risco 4 x 4 5 2 5 5 6 7 8 9 10 11 12 x x x x x x x x 4 4 4 4 4 4 4 4 Total 5 5 5 5 5 5 5 5 2 2 2 2 5 5 5 5 4 5 2 2 5 4 5 0 .

Sala de Servidores Possui controle de acesso? Possui controle de incêndio apropriado? Possui controle de incêndio apropriado? Possui controle de temperatura? Sim x x x x Não Ameaça Acesso físico não autorizado Incêndio Dano a integridade física de pessoas Extremo de temperatura ou umidade Extremo de temperatura ou umidade Dano a equipamentos ou instalações Acesso físico não autorizado Perda de rastreabilidade Incêndio VA 5 5 5 5 PA 5 5 4 3 PV 5 5 5 5 S 5 5 5 4 Risco 5 6 7 8 9 Existe controle de umidade das sala? Existe controle de variações de voltagem na rede elétrica? Possui monitoração CFTV? As filmagens são retidas por mais de 30 dias? Existe sistema de detecção de fumaça? x x x x x 5 5 5 5 5 3 4 5 3 5 4 5 4 4 4 4 5 4 4 5 400 240 .Sala de Reunião Possui controle de acesso? Possui controle de utilização? Possui acústica? Possui algum controle para a identificação dos participantes? Sim x Não Ameaça Acesso físico não autorizado Acesso físico não autorizado Vazamento de informações Acesso físico não autorizado VA 3 3 3 3 Total PA 5 5 5 5 PV 5 5 4 5 S 5 5 5 5 Risco x x x 375 375 # 1 2 3 4 Segurança Física .266 # 1 2 Segurança Física .Elevadores Possui câmera de vigilância? Possui manutenção periódica? Possui telefone para comunicação com o porteiro em caso de emergência? Possui controle de temperatura? Possui iluminação de emergência? Possui geradores e estabilizador de tensão para caso de falta de energia? Sim x x Não Ameaça Acesso físico não autorizado Indisponibilidade de serviços ou informações VA 3 3 PA 5 5 PV 5 3 S 5 5 Risco 3 x Dano à integridade física de pessoas Dano a equipamentos ou instalações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações 3 5 3 3 135 4 5 x x 3 3 4 5 4 2 4 3 192 6 x 3 Total 5 2 5 150 477 # 1 Segurança Física .Ar Condicionado Possui manutenção periódica? Sim Não x Ameaça Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações VA 3 PA 5 PV 1 S 5 Risco 75 2 Possui controle de temperatura? x 3 Total 5 1 5 75 # 1 2 3 4 Segurança Física .

267 # 10 Segurança Física .Sala de Servidores Existe sistema para suprir o fornecimento de energia em caso de falhas por 48 horas? O cabos de dados e elétricos estão sob o piso falso? Existes canaletas separadas para cabos de dados e elétricos? Os racks possuem portas com fechaduras? Existe controle de quem solicita e utiliza as chaves dos racks? Existe controle de quem é autorizado a pegar chaves dos racks? Existe controle de quem é autorizado a pegar chaves dos racks? A chave de um rack pode abrir um outro rack? O cabeamento de dados e de voz está estruturado e identificado? O cabeamento de energia está estruturado e identificado? Existe controle para medir a utilização de elétrica por rack? Existe procedimento de limpeza segura das sala? Existe processo para detectar racks que não foram fechados devidamente? Existem rotas de fugas em casos de incidentes? Existe sistema para emissão de aviso sonoro em caso de incidentes? Sim x Não Ameaça Indisponibilidade de serviços ou informações Dano a equipamentos ou instalações Dano a equipamentos ou instalações Acesso lógico não autorizado VA 5 PA 5 PV 4 S 4 Risco 11 12 13 14 15 16 17 18 19 20 21 x x x x x x x x x x x 5 5 5 5 5 5 5 5 5 5 5 4 4 5 5 5 3 5 3 3 3 4 4 4 5 4 4 4 4 4 4 3 4 5 4 4 4 4 4 4 4 4 5 4 320 400 400 240 Acesso físico não autorizado Acesso físico não autorizado Perda de rastreabilidade Furto ou roubo de ativos Perda de rastreabilidade Perda de rastreabilidade Queda de performance ou falta de capacidade Dano a equipamentos ou instalações Furto ou roubo de ativos Dano à integridade física de pessoas Dano à integridade física de pessoas 22 x 5 5 4 4 23 x 5 5 4 5 24 x 5 Total 5 5 5 2000 .

Servidor de Email Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Sim x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado VA 5 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 3 4 PV 3 4 2 3 3 3 3 4 3 S 3 2 3 4 4 4 5 3 3 Risco x x Acesso lógico não autorizado Indisponibilidade de serviços ou informações Interceptação de dados não autorizada Ação de código malicioso x Interceptação de dados não autorizada 10 Possui política de backup? x Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações x x Acesso físico não autorizado Vazamento de Informação Perda de rastreabilidade Indisponibilidade de serviços ou informações Queda de performance ou falta de capacidade x x x Indisponibilidade de serviços ou informações Ação de código malicioso Vazamento de Informação Acesso lógico não autorizado Vazamento de Informação 5 5 3 4 11 12 13 Possui política para utilização e atualização das mídias de backup? Possui fonte redundante? Possui fonte redundante? x x x 5 5 5 5 5 5 3 3 3 4 4 4 14 Possui espelhamento de HDs? x 5 5 3 5 15 Os equipamentos possuem manutenção? x 5 5 3 4 16 Existem locais adequados para os servidores? x 5 5 3 4 17 Existe local adequado para armazenamento das mídias de backup? Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Existem monitorações de performance? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall instalado? Possui Firewall instalado? x 5 5 2 3 18 19 20 21 22 23 24 25 26 27 5 5 5 5 5 5 5 5 5 5 5 5 3 5 3 5 3 5 5 5 3 4 3 3 3 3 4 5 4 4 3 3 4 4 3 3 4 3 3 5 225 300 x x x 225 240 375 x x .268 # 1 2 3 4 5 6 7 8 9 Segurança Lógica .

Servidor de Arquivos Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias de backup? Possui fonte redundante? Possui fonte redundante? Sim x x x x x x x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Ação de código malicioso Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações x x Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações VA 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 3 4 5 PV 3 4 3 3 3 3 3 4 2 3 11 12 13 x 4 4 4 5 5 5 3 4 3 4 3 4 240 240 14 Possui espelhamento de HDs? x 4 5 3 3 180 15 Os equipamentos possuem manutenção? x 4 5 2 3 16 Existem locais adequados para os servidores? Existe local adequado para armazenamento das mídias de backup? x 4 5 3 4 17 x 4 5 4 3 .269 # 28 29 30 31 Segurança Lógica .Servidor de Email Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Existe procedimento para contingência documentado? O recurso de relay está desabilitado? Sim x Não Ameaça Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Vazamento de Informação Indisponibilidade de serviços ou informações VA 5 5 5 5 PA 5 5 5 5 PV 4 3 2 3 S 3 4 3 3 Risco x x x 300 32 Possui limite para o tamanho de caixa por usuário? x 5 5 3 4 33 Possui limite para o tamanho de arquivo a ser enviado? Possui limite para o tamanho de arquivo a ser recebido? x Vazamento de Informação 5 5 4 3 34 x Ação de código malicioso 5 3 4 3 1665 S 4 3 4 3 3 4 5 3 4 4 Risco Total # 1 2 3 4 5 6 7 8 9 10 Segurança Lógica .

Servidor de Serviço de Diretório Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui fonte redundante? x x x # 1 2 3 4 5 6 7 8 Sim x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações VA 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 5 PV 3 4 3 3 4 3 3 4 S 4 3 4 3 4 4 3 4 Risco x x x x x x 9 10 11 5 5 4 5 5 5 3 4 3 4 3 4 12 Possui espelhamento de HDs? x 5 5 5 3 13 Os equipamentos possuem manutenção? x 5 5 4 3 .Servidor de Arquivos Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Possui limite de espaço por usuário configurado? Sim Não x x Ameaça Acesso físico não autorizado Vazamento de Informação Perda de rastreabilidade Indisponibilidade de serviços ou informações Queda de performance ou falta de capacidade Ação de código malicioso Indisponibilidade de serviços ou informações Ação de código malicioso Vazamento de Informação Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações VA 4 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 5 3 5 3 3 5 3 5 5 5 5 5 5 PV 3 4 3 3 3 3 4 4 5 4 4 4 3 2 S 4 4 3 3 3 5 4 4 4 4 4 4 3 3 Risco 240 320 x x x x x x x x x x x x 320 192 400 Vazamento de Informação Indisponibilidade de serviços ou informações 180 120 2432 Total Segurança Lógica .270 # 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Segurança Lógica .

271 # 14 Segurança Lógica .Servidor de Serviço de Diretório Existem locais adequados para os servidores? Sim x Não Ameaça Acesso físico não autorizado Indisponibilidade de serviços ou informações VA 5 PA 5 PV 4 S 3 Risco 15 Existe local adequado para armazenamento das mídias? x Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? x x x x x x x x x x x x 5 5 3 3 16 17 18 19 20 21 22 23 24 25 26 27 Acesso físico não autorizado Vazamento de Informação Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Ação de código malicioso Vazamento de Informação Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação 5 5 5 5 5 5 5 5 5 5 5 5 5 5 3 5 3 5 3 5 5 5 5 5 Total 3 4 3 4 3 4 4 5 3 4 4 3 3 3 3 4 4 3 4 4 4 5 4 4 225 300 135 400 300 240 500 300 2400 # 1 2 3 4 5 6 7 8 9 Segurança Lógica .Servidor de DNS Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui fonte redundante? Sim x x x x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações VA 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 4 5 PV 3 4 2 2 4 3 3 4 5 S 3 4 3 3 5 4 4 3 3 Risco x x 10 11 12 4 4 4 5 5 5 3 3 3 3 3 4 x x x Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações 13 Possui espelhamento de HDs? x 4 5 3 3 .

Servidor de DNS Os equipamentos possuem manutenção? Sim x Não Ameaça Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações VA 4 PA 5 PV 3 S 4 Risco 15 Existem locais adequados para os servidores? x 4 5 3 3 16 Existe local adequado para armazenamento das mídias? x Existem controles de acesso para as mídias de backup? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? O serviço DNS possui transferência de zona restrita? O serviço DNS possui recursividade habilitada? x x x x x x x x x x x x x x 4 5 4 3 17 18 19 20 21 22 23 24 25 26 27 28 29 30 Acesso físico não autorizado Vazamento de Informação Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Ação de código malicioso Vazamento de Informação Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Vazamento de informação Indisponibilidade de serviços ou informações 4 4 4 4 4 4 4 4 4 4 4 4 4 4 5 5 3 5 3 5 3 5 5 5 5 5 5 5 Total 3 3 3 3 3 4 3 4 4 4 4 3 4 3 2 4 4 3 4 5 4 4 5 5 4 4 4 4 120 240 144 180 400 144 320 240 1788 S 4 4 4 3 4 4 4 3 4 Risco # 1 2 3 4 5 6 7 8 9 Segurança Lógica .Servidor de Banco de Dados Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? Sim x x x x x x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações VA 5 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 4 5 PV 3 4 3 3 2 3 3 3 4 10 11 x x 5 5 5 5 3 2 3 3 150 Falha de Energia .272 # 14 Segurança Lógica .

Servidor de Banco de Dados Possui fonte redundante? Sim Não x Ameaça Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações VA 4 PA 5 PV 3 S 4 Risco 240 13 Possui espelhamento de HDs? x 5 5 3 3 225 14 Os equipamentos possuem manutenção? x 5 5 3 4 15 Existem locais adequados para os servidores? x 5 5 3 4 16 Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Existem mais que 1 usuário para administratar o banco de dados? O usuário do serviço de Banco de Dados possui política de senha? x 5 5 3 3 17 18 19 20 21 22 23 24 25 26 27 x x x x x x x x x x x Acesso físico não autorizado Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação Acesso lógico não autorizado Acesso lógico não autorizado 5 5 5 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5 5 5 Total 3 3 3 3 3 3 4 4 4 3 3 3 4 3 4 2 4 5 4 4 4 4 225 180 225 150 400 1795 S 4 4 3 3 4 4 4 3 2 Risco # 1 2 3 4 5 6 7 8 9 Segurança Lógica .273 # 12 Segurança Lógica .Servidor Web Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? Possui fonte redundante? x x x x x x x x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações x Falha de Energia VA 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 4 5 PV 4 5 5 5 5 3 3 2 3 10 11 x 4 4 5 5 3 3 3 3 180 .

Servidor ERP Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Sim x x x x x x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Interceptação de dados não autorizada Indisponibilidade de serviços ou informações VA 5 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 4 5 PV 4 4 4 4 4 3 3 4 4 .Servidor Web Possui fonte redundante? x Ameaça Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado Indisponibilidade de serviços ou informações x x x x x Acesso físico não autorizado Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações VA 4 PA 5 PV 3 S 4 Risco 240 13 Possui espelhamento de HDs? x 4 5 3 3 180 14 Os equipamentos possuem manutenção? x 4 5 3 3 15 Existem locais adequados para os servidores? x 4 5 2 2 16 Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? x 4 5 3 3 17 18 19 20 21 4 4 4 4 4 5 3 5 3 5 3 2 3 3 5 3 2 3 3 3 180 48 180 300 22 Possui Firewall pessoal instalado? x 4 5 5 4 23 Possui Firewall instalado? x Vazamento de Informação 4 5 4 5 24 Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? O serviço IIS possui recurso Front Page extensions desabilitado? O serviço IIS possui banner desabilitado? O serviço IIS possui recurso webdav desabilitado? x Indisponibilidade de serviços ou informações Vazamento de Informação Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação 4 5 4 4 25 26 27 28 x x x x 4 4 4 4 5 5 5 5 Total 3 3 3 4 4 4 3 3 1308 S 4 4 4 4 5 4 4 3 3 Risco # 1 2 3 4 5 6 7 8 9 Segurança Lógica .274 # 12 Segurança Lógica .

Servidor Citrix Possui alguma política de senha? Possui alguma política de senha? Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui política de backup? Possui política para utilização e atualização das mídias? x x x Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações VA 5 5 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 4 5 PV 3 4 3 3 4 3 3 2 3 x x x x x x x 10 5 5 3 3 .Servidor ERP Possui política para utilização e atualização das mídias? Possui fonte redundante? Possui fonte redundante? Sim x Não Ameaça Indisponibilidade de serviços ou informações VA 5 5 5 PA 5 5 5 PV 4 3 4 S 4 4 4 Risco x x Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações 300 400 13 Possui espelhamento de HDs? x 5 5 3 3 225 14 Os equipamentos possuem manutenção? x 5 5 3 3 15 Existem locais adequados para os servidores? x Acesso físico não autorizado Indisponibilidade de serviços ou informações 5 5 5 4 16 Existe local adequado para armazenamento das mídias? x Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? x x x x x x x x x 5 5 4 4 17 18 19 20 21 22 23 24 25 Acesso físico não autorizado Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso Indisponibilidade de serviços ou informações Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações Vazamento de Informação 5 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5 Total 4 4 3 4 4 4 4 4 3 3 3 4 4 4 4 5 4 3 300 180 300 400 2105 S 3 4 3 3 4 4 5 3 3 Risco # 1 2 3 4 5 6 7 8 9 Segurança Lógica .275 # 10 11 12 Segurança Lógica .

276 # 11 12 13 Segurança Lógica .Servidor Citrix Possui fonte redundante? Possui fonte redundante? Possui espelhamento de HDs? x x Ameaça Indisponibilidade de serviços ou informações Falha de Energia Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso físico não autorizado VA 5 5 5 PA 5 5 5 PV 3 3 3 S 3 4 3 Risco 225 300 225 x x 14 Os equipamentos possuem manutenção? 5 5 3 3 15 Existem locais adequados para os servidores? x 5 5 4 3 16 Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Existem coleta e controle dos logs? Existem monitorações de performance? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? x Indisponibilidade de serviços ou informações Acesso físico não autorizado Perda de rastreabilidade Indisponibilidade de serviços ou informações Ação de código malicioso x Indisponibilidade de serviços ou informações Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações x Vazamento de Informação 5 5 4 4 17 18 19 20 21 22 23 24 25 x x x x 5 5 5 5 5 5 5 5 5 5 3 5 3 5 5 5 5 5 Total 3 4 3 4 3 4 4 4 4 3 4 5 5 3 4 5 4 4 225 240 225 x x x 400 1840 # 1 2 3 4 5 6 7 8 9 10 11 12 Segurança Lógica .Estação de Trabalho Possui política de senha? Possui alguma política de senha? Sim x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Indisponibilidade de serviços ou informações Interceptação de dados não autorizada Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Vazamento de Informações Vazamento de Informações Indisponibilidade de serviços ou informações VA 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 4 4 5 5 5 5 3 5 PV 3 4 3 4 3 2 4 4 4 3 4 3 S 4 4 4 5 4 4 3 3 3 3 5 4 Risco Possui política de log? Possui política de atualização de patches? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui modem? Possui USB habilitado? Possui CDROM habilitado? x x x x x Os equipamentos possuem manutenção? Possui antivirus instalado? Possui IDS/IPS instalado? x x x x Ação de código malicioso Indisponibilidade de serviços ou informações Acesso lógico não autorizado 240 13 Possui Firewall pessoal instalado? 4 5 4 4 .

277 # 14 15 Segurança Lógica .Estação de Trabalho Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? Possuem política de utilização dos equipamentos? Sim x Não Ameaça Vazamento de Informação Indisponibilidade de serviços ou informações VA 4 4 PA 5 5 PV 4 3 S 4 4 Risco x 240 480 Total # 1 2 3 4 5 6 7 8 9 10 11 12 13 Segurança Lógica .Switch Possui alguma política de senha? Possui alguma política de senha? Sim x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado VA 4 4 4 4 PA 5 4 5 5 PV 4 4 4 3 S 4 4 3 3 Vazamento de Informação Indisponibilidade de serviços ou informações VA 4 4 4 4 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 5 4 5 5 4 3 5 5 PV 3 4 3 3 4 3 3 4 4 3 3 4 4 S 4 4 3 3 5 4 4 4 4 5 2 3 3 Risco Possui política de contas? Possui política de log configurada? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui política para bloqueio de tela? Possui USB desabilitado? Possui CDROM desabilitado? Possui controles para que a configuração e instalação não seja padrão? Possui modem desinstalado? Possui criptografia de disco interno? Possui senha de BIOS configurada? 14 15 16 17 18 19 20 Os equipamentos possuem manutenção? Possui antivirus instalado? Possui IDS/IPS instalado? Possui Firewall pessoal instalado? Possui Firewall instalado? Possui Firewall instalado? Possuem políticas de atualizações para o antivirus/IDS/IPS/Firewall? x x 4 4 4 4 4 4 4 5 3 5 5 5 5 5 4 3 4 4 4 4 4 3 4 4 4 5 4 4 320 320 21 4 5 4 4 640 Risco Possui política de contas? Possui alguma política de log? x x .Notebook Possui política de senha configurada? Possui alguma política de senha? Sim x x x x x x x x x x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Vazamento de Informações Vazamento de Informações Interceptação de dados não autorizada Ação de código malicioso Vazamento de Informações Acesso não autorizado Indisponibilidade de serviços ou informações Ação de código malicioso x x x x Indisponibilidade de serviços ou informações Acesso lógico não autorizado Vazamento de Informação Indisponibilidade de serviços ou informações x x Possuem política de utilização dos equipamentos? Total # 1 2 3 4 Segurança Lógica .

Switch Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui restrição de acesso à console de administração? Possui controle para que não seja utilizado usuários padrões? Possui fonte redundante? Possui porta console desabilitada para administração? Sim x x Não Ameaça Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Indisponibilidade de serviços ou informações VA 4 4 4 4 4 4 4 PA 5 5 4 5 5 5 5 PV 4 3 3 4 3 4 3 S 4 4 5 3 5 4 3 Risco x x x x x Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações 320 12 Os equipamentos possuem manutenção? 13 14 15 16 Existem locais adequados para armazenar os switches? Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Possui o serviço HTTP para administração desabilitado? Possui o serviço SNMPdesabilitado? Possui o serviço DHCP habilitado? Possui o serviço DNS desabilitado? Possui suporte à tecnologia 802.1x está desabilitada? x x x x x x x x x x x x 4 5 4 3 Acesso físico não autorizado Indisponibilidade de serviços ou informações Perda de rastreabilidade Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações 4 4 4 4 5 5 3 5 3 4 3 4 4 5 5 4 240 400 320 17 4 5 3 3 x x Acesso físico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Acesso lógico não autorizado Acesso lógico não autorizado 4 4 4 4 4 4 4 5 5 5 5 5 5 5 Total 4 3 4 4 4 3 4 4 4 4 4 4 4 3 2240 S 4 4 4 4 5 4 4 Risco 320 320 320 18 19 20 21 22 23 24 # 1 2 3 4 5 6 7 Segurança Lógica .Roteador Possui alguma política de senha? Possui alguma política de senha? Sim x x x x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada VA 5 5 5 5 5 5 5 PA 5 4 5 5 5 5 4 PV 3 4 3 3 4 3 4 Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? .1x? A funcionalidade 802.278 # 5 6 7 8 9 10 11 Segurança Lógica .

279 # 8 9 10 11 12 Segurança Lógica .Roteador Possui restrição de acesso à console de administração? Possui usuários padrões? Possui fonte redundante? Possui porta console desabilitada para administração? Sim x x Não Ameaça Acesso lógico não autorizado Indisponibilidade de serviços ou informações VA 5 5 5 5 5 PA 5 5 5 5 5 PV 3 4 3 4 3 S 4 4 3 3 4 Risco x x x Indisponibilidade de serviços ou informações Acesso físico não autorizado Acesso físico não autorizado Indisponibilidade de serviços ou informações 225 Possui porta auxiliar desabilitado? 13 O equipamento possui manutenção? 14 Existem locais adequados para armazenar o roteador? 15 16 17 Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? Existe local adequado para armazenamento das mídias? Existem controles de acesso para as mídias de backup? Possui o serviço HTTP para administração desabilitado? Possui o serviço SNMP desabilitado? Possui o serviço DHCP desabilitado? Possui o serviço DNS desabilitado? Existe equipamento de backup? x x x x x x x x x x 5 5 3 4 Acesso físico não autorizado Indisponibilidade de serviços ou informações Perda de rastreabilidade Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações x x Acesso físico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações 5 5 4 3 5 5 5 5 3 5 4 4 4 4 4 3 400 300 18 5 5 3 4 19 20 21 22 23 24 5 5 5 5 5 5 5 5 5 5 5 5 Total 4 3 4 4 3 2 4 3 4 3 4 4 400 300 300 1925 S 4 4 4 4 5 4 3 4 4 Risco # 1 2 3 4 5 6 7 8 9 Segurança Lógica .Servidor de Impressão Possui alguma política de senha? Possui alguma política de senha? Sim x x x x x x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Indisponibilidade de serviços ou informações VA 3 3 3 3 3 3 3 3 3 PA 5 4 5 5 5 5 4 5 5 PV 3 4 3 4 4 3 2 3 3 Possui política de contas? Possui alguma política de log? Possui política de atualização de segurança? Possui política de atualização de segurança? Possui controles para que a configuração e instalação não seja padrão? Possui restrição de acesso à console de administração? Os equipamentos possuem manutenção? .

Smartphone Possui política de senha? Possui alguma política de senha? Sim x x x x x x x x x Não Ameaça Acesso lógico não autorizado Interceptação de dados não autorizada Acesso lógico não autorizado Acesso lógico não autorizado Indisponibilidade de serviços ou informações Interceptação de dados não autorizada Interceptação de dados não autorizada Vazamento de Informações Acesso lógico não autorizado Indisponibilidade de serviços ou informações Os equipamentos possuem manutenção? Os equipamentos possuem controle de patrimônio? Possui o serviço Bluetooth desabilitado? Possui o serviço Infrared desabilitado? x x x x Perda de Rastreabilidade Indisponibilidade de serviços ou informações Interceptação de dados não autorizada VA 4 4 4 4 4 4 4 4 4 PA 5 4 5 5 5 4 4 5 5 PV 3 4 3 2 4 5 2 3 3 S 3 4 3 4 5 3 3 4 4 480 Risco Possui política de contas? Possui política de log? Possui política de atualização de patches? Possui controles para que a configuração e instalação não seja padrão? Possui política para bloqueio de tela? Possui criptografia dados? Possui senha de acesso ao dispositivo? 240 10 11 12 13 4 4 4 4 5 3 5 4 Total 3 4 4 4 4 4 5 5 240 S 3 4 4 4 5 Risco # 1 2 3 4 5 Segurança Lógica .Firewall Existe controle de acesso onde está instalado o firewall? Os "updates" e "patches" estão atualizados? A auditoria do firewall está habilitada? Os logs do equipamento são gravados em um servidor de log? É realizado o acompanhamento dos logs do firewall para identificar tentativas de ataques? Sim x x x x x Não Ameaça Acesso físico não autorizado Indisponibilidade de serviços ou informações Perda de rastreabilidade Perda de rastreabilidade Perda de rastreabilidade VA 5 5 5 5 5 PA 5 5 3 3 3 PV 3 3 3 4 3 6 O firewall recebe uma manutenção periódica? 7 8 Existe firewall reserva em caso de quebra ? Existe documentação de como o firewall está configurado? x x x Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Erros ou omissões 5 5 4 3 5 5 5 3 3 3 4 3 300 .280 # 10 11 12 13 14 Segurança Lógica .Servidor de Impressão Existem locais adequados para armazenamento das impressoras? Existem monitorações de segurança? Existem coleta e controle dos logs? Existem monitorações de performance? Possui o serviço SNMP desabilitado? Sim x Não Ameaça Acesso físico não autorizado Indisponibilidade de serviços ou informações Perda de rastreabilidade Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações VA 3 3 3 3 3 PA 5 5 3 5 5 PV 4 4 4 4 4 S 2 4 4 4 4 Risco x x x x 240 240 Total # 1 2 3 4 5 6 7 8 9 Segurança Lógica .

técnico ou desenvolvedor tem acesso) Portas não utilizadas são bloqueadas por default? Protocolos não utilizados são bloqueados por default? Existe configuração de "logout" automático? As regras de acesso são as mais específicas possíveis? Existe logs de sucesso para as regras de acesso? Existe logs de falha para as regras de acesso? Possui mecanismo de proteção contra IP spoofing? Possui mecansmo de proteção contra ataques do tipo ICMP? Possui mecanismo de proteção contra ataques do tipo Teardrop? O equipamento possui fontes redundantes? O equipamento possui contrato de manutenção? Existe acompanhamento periódico da utilização de recursos (capacidade) do equipamento? Sim x x Não Ameaça Ação de código malicioso Ação de código malicioso Erros ou omissões Erros ou omissões Acesso lógico não autorizado Acesso lógico não autorizado Acesso lógico não autorizado Acesso lógico não autorizado Acesso físico não autorizado Acesso lógico não autorizado Acesso lógico não autorizado Acesso lógico não autorizado VA 5 5 5 5 5 5 5 5 PA 3 3 3 3 5 5 5 5 PV 3 4 3 3 3 3 3 3 S 3 3 4 4 4 3 3 3 Risco x x x x x x 180 180 300 17 5 5 3 4 300 x x x x x x x x x x x x 18 19 20 21 22 23 24 25 26 27 28 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 3 3 4 5 5 5 5 4 3 4 3 2 1 4 5 3 3 3 5 5 4 3 4 4 5 4 4 3 2 225 225 120 60 Acesso lógico não autorizado Perda de rastreabilidade Perda de rastreabilidade Interceptação de dados não autorizada Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Indisponibilidade de serviços ou informações Queda de performance ou falta de capacidade 29 5 3 Total 3 3 1890 x Tabela 29 .Tabela de Analise de Riscos Final .Firewall O firewall possui antivirus instalado? O antivirus é atualizado regularmente? Existe uma política de verificação periódica das políticas configuradas? É feito backup das configurações do equipamento cada vez que são feitas alterações no mesmo? Existem IDS's na rede antes ou depois do firewall? O acesso ao firewall é feito através do protocolo SSH? A senha de acesso ao firewall possue no minimo 8 caracteres? A senha é trocada periodicamente? O acesso ao equipamento é de acesso exclusivo aos administradores da rede? (Nenhum estagiário.281 # 9 10 11 12 13 14 15 16 Segurança Lógica .

00% 30610 100.79% 1.Controle por níveis de riscos final .00% Qualitativo QTDE Tabela 30 .08% Alto Médio Baixo 2 32 70 1.26% 52.36% 543 2% Total 112 100.282 Os Gráficos Finais As informações abaixo apresentam o nível de risco total encontrados no ambiente por ameaça e o percentual relativo em termos qualitativos e quantitativos.000 11.50% 1.79% 28.107 3.57% 62.250 4.27% 38.710 16.62% Muito Baixo 6 5. Nível de Risco Quantitativo QTDE Muito Alto 2 1.

67% dos controles não implementados possuem níveis de risco Baixo e Muito Baixo. 29% dos controles não implementados possuem níveis de risco Médio. .Nível de risco final (Quantitativo)    4% dos controles não implementados possuem níveis de risco Alto e Muito Alto.283 Nivel de Risco Quantitativo Muito Baixo 5% Muito Alto Alto 2% 2% Médio 29% Baixo 62% Muito Alto Alto Médio Baixo Muito Baixo Figura 18 .

Nível de risco final (Qualitativo)    7% dos riscos encontrados são referentes aos controles não implementados que possuem níveis de risco Alto e Muito Alto. 55% dos riscos encontrados são referentes aos controles não implementados que possuem níveis de risco Baixo e Muito Baixo. 38% dos riscos encontrados são referentes aos controles não implementados que possuem níveis de risco Médio. .284 Nível de Risco Qualitativo Muito Muito Baixo Alto 2% 4% Alto 3% Baixo 53% Médio 38% Muito Alto Alto Médio Baixo Muito Baixo Figura 19 .

de Serviço de Diretório Servidor de DNS Servidor de Arquivos Ser.285 Comparativo Final de Risco Servidor ERP Servidor de Email Servidor Citrix Ser.Comparativo final de riscos . de Banco de Dados Roteador Firewall Switch Servidor Web Sala de Servidores Presidente Notebook Usuários Diretores e Gerentes Servidor de Impressão Estação de Trabalho Smartphone Sala de Reunião Prédio Elevadores Ar Condicionado 0 1000 2000 3000 4000 5000 6000 7000 8000 Risco Inicial Risco Final Figura 20 .

. de Serviço de Diretório Servidor Citrix Servidor de Email Servidor ERP Risco Inicial 75 852 1080 1425 1752 2064 2076 3125 3380 4408 4575 5015 5064 5116 5570 5685 5870 5884 5996 6070 6105 6240 6990 Risco Final 75 477 0 375 240 480 480 625 880 640 2950 2000 1308 2240 1890 1925 1795 2432 1788 2400 1840 1665 2105 Tabela 31 . Para a inclusão da segurança da informação em todos os processos e negócios pertinentes à empresa. é criada uma metodologia para o “Planejamento corporativo e modelo de gestão”.Comparativo final de Riscos De acordo com os resultados acima. as implementações de segurança realizadas pelo Security Officer demonstrou que é possível minimizar os riscos das ameaças existentes no ambiente. de Banco de Dados Servidor de Arquivos Servidor de DNS Ser.286 Ativo Ar Condicionado Elevadores Prédio Sala de Reunião Smartphone Estação de Trabalho Servidor de Impressão Diretores e Gerentes Usuários Notebook Presidente Sala de Servidores Servidor Web Switch Firewall Roteador Ser.

procurando minimizar os impactos. a empresa considera o ambiente externo. que serão divididos em projetos e distribuídos em suas linhas de processos internos. com suas oportunidades e ameaças. . e o ambiente interno. com suas forças e fraquezas. MODELO DE GESTÃO Existem disponíveis no mercado diversas metodologias de apoio e referências normativas que podem ser utilizadas para que a organização não inicie o planejamento de seus processos sem embasamento ou utilizando apenas o seu próprio conhecimento. estabelecem estratégias de atuação de longo e curto prazo. A criação de um modelo de gestão busca basicamente o equilíbrio entre a segurança do ambiente organizacional com os riscos. Uma vez que as ameaças são mitigadas. Dessa maneira. Carvalho e Vieira Associados. 9. Como resultado de um modelo de gestão. o ambiente da organização deverá ser trabalhado de modo que as vulnerabilidades possam ser reduzidas ou eliminadas e os agentes de ameaças contidos.287 CAPITULO VIII No capitulo em epígrafe foi apresentado metodologias de apoio e referências normativas que serão utilizadas como modelo de gestão adotado pela Candido. Para o planejamento gerencial é necessário que uma estrutura de gerenciamento seja estabelecida para manter e controlar a segurança da informação dentro da organização.

288 Definição de um Modelo A gestão de segurança da informação deve passar pela definição de modelos que envolvam:    Definição de processos. . Definições de Funções. e Controle e Acompanhamento de projetos: controlar as ações e definir prazos e metas Monitoramento das condições ambientais do contexto da gestão de risco : A monitoração do ambiente ajuda identificar condições anormais e traçar planos emergenciais em caso de detecção de anormalidades. Comunicação e Consulta: Os índices indicadores e as ações estratégicas comunicadas a todos aqueles envolvidos no processo de gestão de segurança das informações de modo que haja a integração coordenada das ações. Definição de Responsabilidades. Definição de Processos Os processos de segurança devem estar corretamente definidos e alinhados com a necessidade da empresa. Os principais processos que devem estar corretamente definidos são: Coleta e consolidação de índices indicadores: com o intuito de analisar conhecer as ações implementadas.

a ocorrência de um incidente significa que os planos de ação não contemplam pontos específicos. isto pode ajudar para que haja o compartilhamento dos esforços dentro da organização. As responsabilidades dos membros devem ser divulgadas por meios oficiais dentro da empresa. Definição de Funções Dentro de um modelo de gestão de segurança das informações. além de atividades de coordenação. os cargos gerenciais são responsáveis pela implementação e manutenção das ações de segurança. etc.289 Reporte a Incidentes: Reavaliar as estratégias e suas correções. analisar falhas em processos. A responsabilidade pela segurança das informações dentro da empresa é de responsabilidade de todos. . intranet. inclui o planejamento de ações. Além de essas responsabilidades serem documentadas elas devem ser amplamente divulgadas na empresa. Operacional O nível estratégico abrange a coordenação geral da gestão de segurança O Nível Tático. Tático. as funções devem estar bem estabelecidas nos níveis:    Estratégico. O Nível Operacional contempla as atividades de monitoração e operação Responsabilidades As responsabilidades dos membros de participantes da Gestão de Segurança devem ser claras e bem definidas.

. A empresa pode optar em seguir uma metodologia específica. ou atender a uma norma.290 Metodologia e Normas de apoio O mercado dispõe de diversas metodologias de apoio e referências normativas que podem ser utilizadas para que a organização não inicie sua caminhada em busca da segurança de seus processos e informações sem embasamento ou partindo de suas próprias experiência Estas metodologias orientam a gestão de segurança para:        Estabelecimento de contextos internos e externos Identificação de Riscos Análise de Riscos Avaliação de Riscos Tratamento de Riscos Monitoramento e análise crítica Comunicação e Consulta Além do mais as metodologias e normas são constantemente revisadas e adequadas às mudanças do ambiente. seja ela por orientação ou por exigências legais. o que acaba envolvendo uma mistura de diversas metodologias ou normas. muitas empresas têm adotado as melhores práticas de mercado. de clientes ou fornecedores.porém.

implementar. confrontando com o planejamento. procedimentos e processos(metodologia) necessários para o atingirmos os resultados .além de contribuir para a redução de erros por desinformação e estabelece a cumplicidades das pessoas com os objetivos da organização.os e planos de segurança deve ser estabelecidos no modelo PDCA onde os passos devem ser seguidos PLAN (planejamento): estabelecer missão. Estes planejamentos devem compreender o planejamento estratégico de segurança de curto. monitorar e melhorar a segurança do ambiente.objetivos(metas). médio e longo prazo. 10. PLANEJAMENTO CORPORATIVO O planejamento estratégico de segurança envolve planejamentos de curto prazo. avaliar processos e resultados.291 CAPITULO IX No capitulo em epígrafe foi apresentado o planejamento corporativo baseado na norma ISO/IEC 27002. Plano de Continuidade : Os projetos. Estes planejamentos devem compreender: Programas e Treinamentos: os estabelecimentos de programas de treinamento estimulam a participação dos colaboradores. onde a proposta é planejar. procedimentos e processos (metodologias) necessários para atingirmos os resultados Do (execução) :realizar . visão.executar as atividades CHECK (verificação): monitorar e avaliar periodicamente os resultados. objetivos(metas).

A análise de risco deverá ser realizada anualmente. é realizada uma análise qualitativa no ambiente. de forma que as novas ameaças sejam tratadas e novos planos de ações sejam tomados. de forma a melhorar a qualidade.292 ACT (agir) : Agir de acordo com o avaliado e de acordo com os relatórios.eficiência e eficácia. aprimorando a execução e corrigindo eventuais falhas. tratamento do risco. ou seja. adequada a metodologia e às novas ameaças ou mudanças no ambiente interno e externo. análise/avaliação de riscos.Uma vez implementada a política não deve ser esquecida ou engavetada. aceitação do risco. que consiste na definição do contexto/escopo. É também adotado o método de análise de risco que utilizasse uma abordagem cujo não fosse necessário atribuir valores financeiros para os ativos. como modo de checagem de índices. A empresa está em constante desenvolvimento e o ambiente externo requer novas exigências ou adaptações. de acordo com a figura 21. dessa maneira não seria diferente que todo o modelo de segurança das informações seja revisado constantemente. comunicação do risco e monitoramento e análise crítica de riscos. e se for necessário. . mas sim amplamente divulgada de forma que todos os colaboradores estejam conscientes de seus tópicos Análise de Risco Contínua: A análise de risco continuada envolve a checagem dos índices de risco.eventualmente determinar e confeccionar novos planos de ação. O processo de gestão de riscos deste trabalho é baseado na norma ISO/IEC 27005. Campanhas de Divulgação da política de conscientização :Um trabalho muito importante que deve ser executado periodicamente são as campanhas de divulgação da política.

monitorar (Check) e melhorar (Act) a segurança do ambiente. abaixo a figura 22.PDCA O ciclo inicia-se no planejamento. a análise/avaliação de riscos.293 Figura 21 . implementar (Do). onde é definido o contexto. é ilustrado o sistema.Sistema de gestão de riscos O sistema de gestão de segurança é baseado no conceito de melhoria contínua (PDCA). . Planejar (Plan) Melhorar (Act) Implementar (Do) Monitorar (Check) Figura 22 . ou seja. o desenvolvimento do plano de tratamento do risco e a aceitação do risco. são estabelecidos procedimentos para planejar (Plan).

são estabelecidos pelos gestores métodos e métricas para realização do monitoramento e na fase “agir” as ações necessárias é executado.294 O segundo passo a implementação é responsável em executar as ações e controles necessários para reduzir os riscos para um nível aceitável. Com isso. garantindo aos sistemas a adaptabilidade necessária compatível com os ambientes dinâmicos das organizações modernas. é realizado um ciclo de evolução contínua. . E então. incluindo a reaplicação do processo de gestão de riscos de segurança da informação. que são implementados de acordo com o plano de tratamento do risco.

Vânia M. Administração Estratégica. E. B. Portugal. Inf. 2006. BEAL.6. Informação e atividades de desenvolvimento científico. Segurança da informação: princípios e melhorias práticas para a proteção dos ativos de informação nas organizações. Brasília. Juarez L. n. São Paulo: Atlas.20. Sistemas de informação: nova abordagem teórico-conceitual. p. JÚNIOR.2. Maria da Glória Botelho.29. dez/02. Martinho Isnard Ribeiro de.24. O planejamento estratégico dentro do conceito de administração estratégica. Ci.1. tecnológico e industrial: tipologia proposta com base em análise funcional. nQ2. BORGES.2. Ci. N.. CAMPELLO.. ALVES. vol. 2001.UFSM REFERENCIAL TEÓRICO. R. p. ANSOFF. Perspect. 1991. ALMEIDA. Amauri SCHERER.2. Curitiba-PR. I. C. 1995. n. AURÉLIO Buarque de Holanda Ferreira. 1997.3. N.. . Manual de planejamento estratégico: desenvolvimento de um plano estratégico com a utilização de planilhas Excel. Luis A M. São Paulo: Atlas. Novo dicionário Aurélio . Estratégia empresarial. v. v. v. S. 1975.3.Revista de Ciência da Informação. 1994. p. H. PRAXIS: um referencial para planejamento de Sistemas de Informação.Rogério F. século XXI. I.O dicionário da língua portuguesa. Rio de Janeiro. Inteligência Empresarial: uma avaliação de fontes de informação sobre o ambiente organizacional externo. R. Ivanói B. Adriana. Gustavo A. Santa Maria: UFSM. 1997. n. v. n. AMARAL.ZANIN. jan. Revista da FAE. São Paulo: Atlas. AGUIAR. Rio de Janeiro: Ciência Moderna Ltda. n. BATTAGLlA. DataGramaZero . R. 9-16. ALDA Y H.VENTURA. Inf. 1977. M.Finep.. ALMEIDA.código de prática para segurança da informação./jun. Hermes de. A Inteligência Competitiva modelando o Sistema de Informação de Clientes . A organização para negócio no Brasil. ARAÚJO.295 Referências Bibliográficas NBR ISO/IEC17799:1. 1999.. 2000.7-15. jul. Rio de Janeiro: Editora Nova Fronteira. 1999. Cio Inf. Segurança da informação: Uma visão inovadora da gestão. BARBOSA. Tecnologia da Informação . Afrânio C./dez. Roberto L. v. p. Tese de Doutorado apresentada na Universidade do Minho. Brasília. São Paulo: McGraw-Hill do Brasil.1 e ed. Cio Inf. PLANEJAMENTO ESTRATÉGICO .1. 149-161. 2005. E.200-214.

Dissertação (Mestrado) . CASTELLS. J. Rio de Janeiro: Ciência Moderna Ltda.A Sociedade em Rede.296 BUCKLAND. São Paulo: Futura. EDWARDS.de/infoconcept. Ci.capurro. 6. Ecologia da informação: por que só a tecnologia não basta para o sucesso na era da informação. Edílson. Foundations of information science: review and perspectives. . Manuel.capurro. CERTO. Bases de dados de informação para negócio no Brasil. 1991.theatlantic. B. BUSH. . Antônio Carlos. 2. FERREIRA. Jul. B.com/unbound/flashbks/computer/bushf. Disponível em: http://www. 1998.. jan. Introdução à teoria da informação. DEMO. DAVENPORT.5. Conceitos e uso da informação organizacional e informação estratégica.. 1 . v. Inf. 2002. Ambivalências da sociedade da informação. DAWEL. p. 17-36.htmlacesso dia 02/11/08. 63-70. Disponível em: http://www. 1964. R. 175p. T. São Paulo: Saraiva. CENDÓN.Programa de Pós-Graduação em Biblioteconomia e Ciência da Informação da Pontifícia Universidade Católica de Campinas. Transinformação. Samuel. CHIAVENATO./abr. 2.ed. E. Rio de Janeiro: Ciência Moderna. vol. Thomas H. 1991. 2006. nº 2.ed Rio de Janeiro: Campus. A segurança da informação nas empresas. R.2000. Information as thing.351-360. The Concept of Information. São Paulo:Atlas. Campinas. V. Edison. Paul. A. 1993. Administração estratégica. HJORLAND. Paz e Terra. Brasília. 32. v. São Paulo: Cultrix. George. Segurança da informação. Michal K. 1999 (7ª edição). A Era da Informação. Fernando N. The Atlantic Monthly. 2005. S. 162p.htm acesso dia 02/11/08. n. Idalberto. FONTES. Cio In1. n. 1945.45. São Paulo. As we may think. CALAZANS. DAMASIO. O profissional da informação na indústria: habilidades e competências. p. F.htm cesso no dia 25/10/08. p. 2003. 147p. Vannevar. 2000. Como elaborar projetos de pesquisa. 2006. Pedro. Vai. CAPURRO. PETER.de/tampere91. Tampere: University of Tampere. 29. Disponível em: http://www. GIL.. Segurança da informação: o usuário faz a diferença. Introdução à Teoria Geral da Administração. 2001. CAPURRO. São Paulo: Makron Books. Journal of the American Society for information Science (JASIS). maio/agosto 2003.

SÊMOLA. Kevin J. 2003. O Processo de Construção do Planejamento Estratégico através da Percepção da Coalizão Dominante. Lisboa: Presença. Dissertação (Mestrado) . D. Henrique.htm dia 30/10/08. SWOT.). n. Jaime. São Paulo: Atlas. IstoÉ. jun. Tese (Doutorado em Engenharia de Produção) . 2004. Planejamento estratégico situacional aplicado à pequena empresa: estudo comparativo de casos em empresas do setor de serviços (hoteleiro) da Região de Brotas . Gestão da Segurança da Informação.com. 2002.com.297 GRAY. Revista eletrônica de Biblioteconomia e Ciência da Informação. M l P. ROBREDO. 2ª Pesquisa Nacional sobre o perfil do profissional em segurança da informação. Da documentação à informação: um conceito em evolução. Cio Inf. O moderno profissional da informação: formação e perspectiva profissional. Planejamento Estratégico: conceitos. 28. dia 30/10/08 SllVEIRA. MODULO E C. Disponível em: <http://www. 2004. (Org. v. O James Bond da Internet. Entrevista concedida a Mariana Barros. Brasília: UnB. Disponível em: <http://www. Da Ciência da Informação revisitada aos sistemas humanos de informação. T. A. VAlENTIM.Escola de Engenharia de São Carlos. São Paulo. UFSC. Informação tecnológica e para negócios no Brasil: introdução a uma discussão conceitual. São Carlos. MONTALLI. Katia Maria Lemos. MCGARRY.Graduação em Engenharia de Produção. Patrick.modulo. 2001. 223f. 1.ufsc. Universidade de São Paúlo. Inteligência organizacional e competitiva.. SSRR. Maurício Fernandes. Florianópolis. 2004.br/istoe/1812/1812 vermelhas 01.br/pdf/pesquisa_perfiL2004. MIGLlA TO. Florianópolis. 2003.jun. Brasília: Thesaurus. JANNUZZI.html>. K. 2000. P. R. 2003. Marcos.SP. In: TARAPANOFF. Brasília. Rio de Janeiro.br/Edicao_9/marta. 1984. dia 30/10/08 OLIVEIRA.terra. p. PEREIRA. 1999. Rio de Janeiro: Elsevier.encontrosbibli. 209-226. metodologia. 294 f.pdf>. Celeste Aída Sirotheau Corrêa. . L. práticas. Disponível em: http://www. nQ 9. 2002.

implementar e manter um sistema. um vínculo (link) de hipertexto. ABNT: A Associação Brasileira de Normas Técnicas é o órgão responsável pela normalização técnica no Brasil.298 Glossário NME: originado do navegador de WWW da Sun Mycrosistems que pode executar pequenos programas diretamente das páginas Web. Trata-se de uma entidade privada e sem fins lucrativos fundada em 1940. convenções. Shafts: vínculos. de recomendações para práticas na gestão de Segurança da Informação. uma associação internacional que suporta e patrocina o desenvolvimento de metodologias e certificações para o desempenho das atividades de auditoria e controle em sistemas de informação. ISACA: É o acrônimo para Information Systems Audit and Control Association (Associação de Auditoria e Controle de Sistemas de Informação). anteriormente conhecido como The National . O padrão é um conjunto. NIST: O National Institute of Standards and Technology ("Instituto Nacional de Padrões e Tecnologia") ou NIST. um botão ou trecho destacado do texto que. ISO/IEC 17799: É uma norma de Segurança da Informação revisado em 2005 pela ISO e pela IEC. tal como FTP. CSIRT USP: Equipe de Seguranca de Redes e Resposta a Incidentes da Universidade de São Paulo. fornecendo a base necessária ao desenvolvimento tecnológico brasileiro. escrita em linguagem Java. ao ser selecionado. Telnet etc. Ideal para aqueles que querem criar. remete o leitor a outra página. Nas páginas da Web. GUT: um local na Internet que permite algum tipo de acesso remoto.

voltado para a prevenção de ataques a redes de computadores. sendo que o scan propriamente dito é feito pelo servidor. chamado em inglês de Hard Disk. é uma agência governamental não-regulatória da Administração de Tecnologia do Departamento de Comércio dos Estados Unidos. formulado como framework. Firewall: É o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Nessus: É um programa de verificação de falhas/vulnerabilidades de segurança.299 Bureau of Standards. Control Objectives for Information and related Technology. promovendo a metrologia. os padrões e a tecnologia de forma que ampliem a segurança econômica e melhorem a qualidade de vida. HD: O disco rígido de um computador. CobiT: Do inglês. dirigido para a gestão de tecnologia de informação (TI). Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma . IDS: Sistema de detecção de intrusos ou simplesmente IDS ( em inglês: Intrusion detection system) refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a acção hacker ou até mesmo funcionários mal intencionados IPS: Sistema de prevenção de intrusos (em inglês: Intrusion Prevention System) é um sistema. A missão do instituto é promover a inovação e a competitividade industrial dos Estados Unidos. é um guia. similar ao IDS (Intrusion Detection System). Ele é composto por um cliente e servidor. o que pode envolver apagamentos acidentais ou corrupção de dados. Backup: É a cópia de dados de um dispositivo de armazenamento a outro para que possam ser restaurados em caso da perda dos dados originais.

. a arquivos de computador contendo essas diferenças. Uma forma de armazenamento caracterizada pela alta capacidade (aproximadamente 600 megabytes) e pelo uso de técnicas óticas de laser em vez do eletromagnetismo para a leitura dos dados. Antivírus: Os antivírus são softwares projectados para detectar e eliminar vírus de computador. USB: Universal Serial Bus é um tipo de conexão Plug and Play que permite a conexão de periféricos sem a necessidade de desligar o computador. mais freqüentemente. Patches: Uma patch é um programa de computador do sistema operacional UNIX que aplica as diferenças textuais entre dois programas e. Ele é um dispositivo eletrônico que modula um sinal digital em uma onda analógica. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações. BIOS: É onde ficam armazenadas informações técnicas do computador (HDs instalados. HTTP: (acrônimo para Hypertext Transfer Protocol. CDROM: Compact Disc Read-Only Memory. comumente associados a redes TCP/IP. Modem: A palavra Modem vem da junção das palavras modulador e demodulador. velocidade de processador. e etc) e aonde são configuradas algumas opções do processador e de periféricos instalados no micro. ou arquivos diff. pronta a ser transmitida pela linha telefônica. e que demodula o sinal analógico e o reconverte para o formato digital original. IIS: Internet Information Services é um servidor web criado pela Microsoft para seus sistemas operacionais para servidores. que significa Protocolo de Transferência de Hipertexto) é um protocolo de comunicação (na camada de aplicação segundo o Modelo OSI) utilizado para transferir dados por intranets e pela World Wide Web.300 rede para outra.

CCTV) é um sistema de televisão que distribui sinais provenientes de câmeras localizadas em locais específicos. que facilita o intercâmbio de informação entre os dispositivos de rede. DNS: O Domain Name System (DNS) converte nomes Internet em seus números correspondentes e vice versa. como placas e comutadores (em inglês: switches) DHCP: Dynamic Host Configuration Protocol. ISO 27005: É um padrão para sistema de gerência da segurança da informação (ISMS . Seu nome completo é ISO/IEC 27001:2005 Tecnologia da informação .PANs).requisitos mas conhecido como "ISO 27001". 802. da camada de aplicação.301 SNMP: O protocolo SNMP (do inglês Simple Network Management Protocol Protocolo Simples de Gerência de Rede) é um protocolo de gerência típica de redes TCP/IP.Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision.1X: É um padrão IEEE para controle de acesso à rede com base em portas CFTV: Circuito fechado ou circuito interno de televisão (também conhecido pela sigla CFTV.técnicas de segurança . . para um ou mais pontos de visualização Bluetooth: É uma especificação industrial para áreas de redes pessoais sem fio (Wireless personal area networks . com concessão de endereços IP de host e outros parâmetros de configuração para clientes de rede. do inglês: closed-circuit television. é um protocolo de serviço TCP/IP que oferece configuração dinâmica de terminais.sistemas de gerência da segurança da informação .