!

Elaborao de um modelo de SGSI para a FACSENAC: Aplicao da NBR

ISO-IEC 27001
Carlos Magno2, Daniel Cordeiro2, Jacy Ferreira2 e Edilberto Silva2
2

Ps-Graduao
Graduao em Segurana da Informao, FACSENAC-DF,
FACSENAC DF, Braslia
Braslia-DF
crmagno@gmail.com; cordeiro.daniel@gmail.com;
cordeiro.daniel@gmail.com jacyfr@ig.com.br
jacyfr@ig.com.br;
edilms@yahoo.com

Resumo. Este artigo prope a implantao de um SGSI na empresa FACSENAC,

criando uma matriz de riscos, para acompanhamento, monitoramento e evoluo do
processo de crescimento da empresa, identificando e gerenciando suas atividades
atividades,
identificando vulnerabilidades para simplificar um futuro processo de auditoria da
SGSI. O mtodo a ser utilizado ser um estudo de caso da empresa FACSENAC
que possibilitar as etapas do processo de criao da SGSI luz da ABNT ISO/IEC
27001:2006. O principal resultado deste artigo ser a criao de uma matriz de
riscos incremental, identificando os ativos fsicos e lgicos para identificar as reas
mais criticas, possibilitando assim um nvel adequado de proteo para o
crescimento sustentvel da empresa.
Palavras-chave:
chave: Vulnerabilidade, Ativo, Sustentvel.
Abstract:: This paper proposes the implementation of a Information System in the
SENAC company, creating a risk matrix for tracking, monitoring and progress of the
company's growth, identifying and managing activities to simplify a future audit of the
process. The method used is a case study that will enable the company FACSENAC
stages of the creation of the ISMS the light of ABNT ISO/IEC 27001:2006.. The main
result of this paper is to create an array of incremental risks, identifying the tangible
(physical) and intangible (software) to identify the most criti
critical
cal areas, thus enabling
an adequate level of protection for the sustainable growth of the company.
KeyWords: Vulnerability, Active
ctive, Sustainable.
1. INTRODUO
Hoje a informao bem mais valiosa dentro das organizaes, portanto
precisa de uma poltica de proteo. No se pode correr o risco de uma
interrupo em suas operaes, isso acarretaria
acarretaria srios prejuzos corporao
abalando as relaes de parcerias comerciais. Hoje as empresas esto juntando
todos os componentes da cadeia produtiva,
pro
atravs de vrios tipos de conexes,
e compartilhamento remoto de informaes estratgicas com os diversos tipos
clientes. Isso possivelmente agregar valor e se transformar em benefcios,

porm, a alta direo tem dificuldades em reconhecer o retorno imediato sobre o

investimento em segurana, e elas no esto amparadas por um planejamento
de segurana da informao, capaz de minimizar riscos de qualquer espcie
causando prejuzos com perda de produtividade, proporcionando perdas
financeiras e desgaste sua imagem.
O interesse da segurana deve partir do mais alto nvel da organizao,
pelo elevado reconhecimento de srios problemas que resultariam no vazamento,
modificao ou indisponibilidade da informao.
Este cenrio eleva a poltica
pol
de segurana da Informao
o relacionada
proteo de dados, identificando a sua vulnerabilidade para a criao de
ferramentas adequadas, dando suporte estratgia de gesto de riscos de
negcios.
Este grupo prope o PGSI Plano de Gesto de Segurana da
Informao pautado na norma
orma NBR ISO/IEC 27001:2006(ABNT, 2006)
2006)[1], que
adota o modelo PDCA Plan-Do
Do-Check-Act (Planejar, Fazer, Checar e Agir)
A
que
define diretrizes para a o planejamento e implantao
tao de um SGSI (Sistema de
Gesto de Segurana da Informao).
Trata-se de um estudo sobre a natureza do negcio sua rea de operao,
localidade do ambiente e mapeamento
mapea
dos ativos fsicos e lgicos para identificar
as vulnerabilidades, mensurar o impacto na organizao para determinar o grau
de prioridade para cada risco.
A adoo de um plano de informao pautado na NBR ISO/IEC
27001:2006(ABNT, 2006)[1],, tem como objetivo elevar a organizao a um grau
de qualidade e maturidade que permita o uso eficaz e eficiente do seu SGSI.

"#$%&'(!))(*+,-.+(/012(3(/.'4(0+(15-67(2689(

2. MAPEAMENTO DOS ATIVOS

De acordo com o escopo definido sero avaliados 10 ativos conforme
tabela 1.. Os ativos descritos nesta, foram escolhidos mediante anlise tcnica
baseada em mtodos, cujos resultados devero ser comparados com regras
estabelecidas pela empresa FACSENAC para
a uma determinada atividade para
identificar os riscos que estes representam
representa para a empresa.
(
;'<-.'()(!(*'F-'E-48+(,-('8#L+G(
;'<-.'(
=;>*(
=;>*
!(
:(
C(
D(
Q(
X(
Y(
](
_(
!`(

2;=?M(
1'<-'E-48+(>G8&%8%&',+(
U-,-(>.B8&#6'(>G8'<#.#J','(
U+8-',+&-G(
VW#865-G(
@'67<@+4-(
V-&L#,+&(,-(2&P%#L+G(
0-G78+FZG[(\'F8+FZG[(-(+%8&+G(
2F.#6'8#L+S"=U>^2\\T(
@'46+(,-(0',+G(
0+6%E-48'HI+(,+(V#G8-E'(

(
;'<-.'(:)(aKL-#G(,-(F&+<'<#.#,',-9(
;'<-.'(:
/&+<'<#.#,',-(
*%#8+(@'#A'(
@'#A'(
*B,#'(
2.8'(

?'.+&((
!(
:(
C(
D(

0-G6&#HI+(
*%#8+(=EF&+LRL-.(,-(M6+&&-&(((S`!('(!`bT(
=EF&+LRL-.(,-(M6+&&-&(((((((((((((((S!!('(C`bT(
M6+&&-(M6'G#+4'.E-48-(((((((((((((SC!('(Y`bT(
/&+LRL-.(,-(M6+&&-&(((((((((((((((((((SY!('(!``bT(

(
;'<-.'(C(3(aKL-#G(,-(=EF'68+9(
;'<-.'(C(
=EF'68+(
0-GF&-JKL-.(
@'#A+(
1&K8#6+(
O&'L-(
O&'LKGG#E+(

?'.+&(
!(
:(
C(
D(
Q(

0-G6&#HI+(
MG(0'4+G(GI+(G#$4#c#6'48-G(F'&'('(M&$'4#J'HI+9(
MG(0'4+G(GI+(
2(M&$'4#J'HI+(6+4G-$%-(&-F'&'&(+G(,'4+G(6+E(G-%G(F&NF&#+G(&-6%&G+G(
2(M&$'4#J'HI+(6+4G-$%-(&-F'&'&(+G(,'4+G(6+E(G-%G(F&NF&#+G(&-6%&G+G
2(&-6%F-&'HI+(,+G(,'4+G(-A8&'F+.'(+G(&-6%&G+G(,'(M&$'4#J'HI+(
2(&-6%F-&'HI+
0'4+G(P%-(L-45'E('(E'465'&('(#E'$-E(,+(d&$I+(+%($-&'&('.$%E(#46#,-48-($&'L-(
0'4+G(P%-(L-45'E('(E'465'&('(#E'$-E(,+(
(
0-G8&%#HI+(=&&-F'&RL-.(,'(=E'$-E(,+(
=&&-F'&RL-.(,'(=E'$-E(,+(d&$I+(-(+c-&-6-(&#G6+(,-(E+&8-('+G(G-&L#,+&-G
-(+c-&-6-(&#G6+(,-(E+&8-('+G(G-&L#,+&-G(

;'<-.'(D)(/&+<'<#.#,',-(e(=EF'68+9(

=*/21;M(

(
(
(
(
(
(
(

((

((((

((
(
0-GF&-JKL-.(
@'#A+(
1&K8#6+(
O&'L-(
O&'LKGG#E+(

*%#8+(@'#A'(
S=EF&+LRL-.T
S=EF&+LRL-.T(
!(

/(&(+(<('(<(#(.(#(,('(,(-(
@'#A'(S/+%6+(
*B,#'(
F&+LRL-.T(
S/+GGKL-.T(
:(
C(

2.8'(((((((((((
S/&+LRL-.T(
D(

*%#8+(2.8'(
S"&-Pf-48-TT(
Q(

:(

C(

D(

Q(

X(

C(

D(

Q(

X(

Y(

D(

Q(

X(

Y(

](

Q(

X(

Y(

](

_(

2.1. PGSI - Planejamento de Gesto de Segurana da Informao

O PGSI para a FACSENAC tem a inteno de apresentar uma proposta de
alto nvel com metodologia baseado em regras e padres pautado na ABNT
ISO/IEC 27001:2006[1],, para que futuramente possa servir de referncia para

outras unidades da organizao

organizao; na figura abaixo veja concepo no que diz
respeito ao Planejamento (PLAN) do SGSI.

O escopo do projeto apresenta metodologia baseado em regras

estabelecidas para facilitar o desenvolvimento e o acompanhamento das etapas
de forma que possa identificar as principais caractersticas do negcio, o que faz
parte e quais reas so mais criticas que iro fazer parte do PGSI, e dentro de
cada identificando os ativos tangveis e intangveis necessrios para
para a formao
da matriz de riscos,, conforme tabela abaixo.
abaixo
((

28#L+G(

2E-'H'G(

?%.4-&'<#.#,',-G(

!(

1'<-'E-48+(
>G8&%8%&',+(

U+EF#E-48+(
,-(6'<+(

U'8+Gg(*+L-#Gg(
V-&L#,+&(E'.(
#48-46#+4',+[(

:(

U-,-(>.B8&#6'(
>G8'<#.#J','(

h%-,'(,-(
>4-&$#'(

V+<&-6'&$'[(
0-G.#$'E-48+(,+(
a+@&-'7[1%&8+(-E(
c#'HI+('48#$'(

C(

D(

U+8-',+&(

@'67(@+4-(

h%-,'(,-(
>4-&$#'[(
=4-A#G8j46#'(,-(%E'(
28'P%-(
U+8'(2.8-&4'8#L'(+%(
i'67-&S0,+GT(
?#&8%'.(
"'.5'(,-(
i'&,W'&-(
h%-,'(,-(
>4-&$#'[(
=4-A#G8j46#'(,-(%E'(
28'P%-(
U+8'(2.8-&4'8#L'(+%(
i'67-&S0,+GT(
?#&8%'.(
"'.5'(,-(
i'&,W'&-(

U#G6+((((((((,-(
#EF'68+
#EF'68+(
=48-&&%FHI+(,-(
8+,+(+%(F'&8-(,+(
V#G8-E'(#48-&4+(-(
+%(-A8-&4+(
=48-&&%FHI+(,-(
8+,+(+(V#G8-E'(
#48-&4+(
=48-&&%FHI+(,-(
8+,+G(+G(V-&L#H+G(
P%-(%8#.#J-E('(
=48-&4-8(

=48-&&%FHI+(,-(
8+,+G(+G(V-&L#H+G(
P%-(%8#.#J-E('(
=48-&4-8(

U#G6+(,-(
aK-.(((,-(
/&+<'<#.#,',-( =EF'68+(

U#G6+(

;'<-.'(Qk(*'8&#J(,-(U#G6+G(
U-GF+4GRL-.(

;&'8'E-48+(

!(

:(

C(

;B64#6+(,-(
U-,-(

=G+.'E-48+('8&'LBG(,-(
6'4'.-8'G(',-P%','G(

!(

:(

C(

>.-8&#6#G8'(

=G+.'E-48+(,'(&-,-(6+E(
E'8B&#'G(l(#4c.'ERL-#Gg(
>A8#48+&-G(,-(=46j4,#+(
-E(.%$'&-G(-G8&'8B$#6+G(

D(

2,E#4#G8&',+&(
,'(U-,-(

*'4%8-4HI+((F-&#N,#6'(
,+(-P%#F'E-48+[(
a+@&-'7[(mE'(U+8'(
'.8-&4'8#L'(Fn-G8'(
-E-&$j46#'(

D(

2,E#4#G8&',+&(
,'(U-,-(

*'4%8-4HI+((F-&#N,#6'(
,+(-P%#F'E-48+[(
a+@&-'7[(mE'(U+8'(
'.8-&4'8#L'(Fn-G8'(
-E-&$j46#'(

C(

C(

:(

:(

VW#865(

h%-,'(,-(
-4-&$#'[(
"'.5'(,-(
i'&,W'&-(

=4-A#G8j46#'(,-(%E'(
U+8'(2.8-&4'8#L'(+%(
?#&8%'.(

X(

V-&L#,+&(,-(
2&P%#L+G(

h%-,'(,-(
>4-&$#'[(
=48&%GI+(
=48-&4'(-(
>A8-&4'(

h%-,'(,+(V-&L#,+&[(
=48-&&%FHI+(,+(
=4L'GI+(i'67-&(+%( V#G8-E'[(U+%<+[(+%(
F+&(%E(V-&L#,+&(E'.(
-A8&'L#+(,-(
#48-46#+4',+(
=4c+&E'Hp-G(

Y(

0-G78+FZG[(
\'F8+FZG(-(
+%8&+G(

Q(

U+%<+[(
h%-<&'(

=48-&&%FHI+(,-(
V-&L#H+G[(/-&,'(,-(
0',+G(

h%-,'(,-(;+,+(+(
V#G8-E'(
1++&F+&'8#L+(
=48-&4+((

=48-&&%FHI+(,-(
V-&L#H+G[(/-&,'(,-(
,',+G[(?'J'E-48+(
,-(=4c+&E'Hp-G[(
/-&,'(4+(
/'8&#Eq4#+(

26-GG+(,-(
V-&L#,+&-G('(
;&'L'E-48+(,-(
=48-&&%FHI+(,-(
2F.#6'8#L+(
FR$#4'G(
0-G78+FoG[(
U+8#4'G[(
](
"=U>^2\\(
G%GF-#8'G[(
/&+$&'E'G(P%-(4I+(
?'J'E-48+(,-(
1+4c#$%&'HI+(
6'&&-$'E(-869(
=4c+&E'Hp-G(-869(
,+("#&-W'..(
h%-,'(,-(
-4-&$#'[(
/'4-(,-(P%'.P%-&(
F-&,'(,-(
U+%<+(,-(
@'46+(,-(
-GFB6#-(4+(V-&L#,+&[(
_(
,-G-EF-45+[(
=4c+&E'Hp-G[(/-&,'(
0',+G(
=4L'GI+(>A8-&4'(+%(
=48&%GI+(
,-(,',+G(-869(
=48-&4'(
#48-&4'(-(
>A8-&4'(
/-&,'(,-(
/-&,'[(
=4c+&E'Hp-G(
0+6%E-48'HI+( >A8&'L#+(,-(
/-&,'[((>A8&'L#+(,-(
!`(
=EF+&8'48-G(F'&'(
,+(V#G8-E'(
h%'.P%-&(
h%'.P%-&(a'8%&-J'(
,'&(6+48#4%#,',-(
a'8%&-J'(
,+(V#G8-E'(

C(

:(

D(

!(

D(

D(

!(

D(

D(

!(

:(

D(

D(

C(

*'4%8-4HI+((F-&#N,#6'(
,+(-P%#F'E-48+[(
2,E#4#G8&',+&(
a+@&-'7[(mE'(U+8'(
,-(U-,-(
'.8-&4'8#L'(Fn-G8'(
-E-&$j46#'(
/+.K8#6'(,-(@'67%F(
24'.#G8'(,-(
6+4c#RL-.[("'J-&(V#G8-E'(
V%F+&8-[(
,-(>GF-.5'E-48+[(
MF-&',+&(
E'48-4,+((V#G8-E'(4+((
2&9(

C(

V-&L#H+(,-(
*'4%8-4HI+[(
V-&L#,+&-G(

1+.+6'&(1rE-&'G(-E(
.%$'&-G(-G8&'8B$#6+G[(
6+48&+.-(,-(-48&','(-(
V'K,'(,-(E'8-&#'.(

Y(

24'.#G8'(,-(
V%F+&8-[(
>GF-6#'.#G8'(

28%'.#J'HI+(0#R&#'(,-(
2F.#6'8#L+G[(V%F-&L#GI+(
0#R&#'(,-(U-$&'G(,-(
a-$N6#+[(1+4c#$%&'HI+(
,+("#&-W'..(

Y(

24'.#G8'(,-(
@'46+(,-(
0',+G(

;-&(%E'(/+.K8#6'(,-(
@'67%F(6+4c#RL-.[("'J-&(
V#G8-E'(,-(
>GF-.5'E-48+[(
/&+$&'E'&(U+8#4'G(,-(
M8#E#J'HI+(,+(@0(

Q(

24'.#G8'[(
0#&-8+&(

O%'&,'&(8+,'(
,+6%E-48'HI+(,+G(
V#G8-E'G(-E(.%$'&-G(
'F&+F&#',+G(-(8-&(E'#G(
,-(%E'(6NF#'(

(((

3. CONCEITOS BSICOS
Seja qual for a forma apresentada ou o meio atravs do qual a informao
compartilhada ou armazenada, recomendado que ela tenha um nvel de
proteo adequado para cumprimento de seus objetivos,
objetivos que so:

Confidencialidade - preciso garantir que a informao mantenha o

sigilo que lhe cabvel, de forma que o acesso seja restrito a pessoas que
tenham autorizao para tal.

Integridade - a informao deve ser mantida da maneira como criada

pelo seu autor, evitando alteraes indevidas, intencionais ou acidentais.

Disponibilidade - uma informao deve estar disponvel aos usurios

ou a uma instituio no momento em que for requisitada. Veja figura abaixo:

(
(
(
(
(

"#$%&'(:(3(M<s-8#L+G(,-(V-$%&'4H'((,'(#4c+&E'HI+9(
"#$%&'(

Ativos - Os elementos que fazem parte da vida da informao dentro

de uma organizao e a prpria informao so considerados ativos. Ativo

"qualquer coisa que tenha valor para a organizao".

Ameaas - E uma causa potencial de um incidente indesejado,

podendo resultar em dano para um sistema ou organizao.

Vulnerabilidade - Uma fraqueza de um ativo ou grupo de ativos de

informao que pode ser explorada por uma ameaa como.

o

Data Center ao lado de uma

um loja de fogos de artifcio,, portas

destrancadas;
o

Alocao errada
rada de direitos de senha falta de manuteno etc
etc.

Risco - a medida do nvel de incerteza associado probabilidade

de ocorrncia de um evento e suas conseqncias.

(
"#$%&'(C(3(U#G6+9(
(

4. ESTUDO DE CASO
O estudo de caso foi realizado em campo levando
levando-se em conta a
situao atual da organizao,
organizao atravs de uma abordagem metodolgica de
investigao com
om a coleta de dados descrevendo os acontecimentos e
objetivando analisar o fenmeno a que se refere aprendendo
prendendo a dinmica do
processo no que diz respeito Segurana da Informao.

5. LEVANTAMENTO
EVANTAMENTO DAS INFO
INFORMAES DO PGSI PADRES E NORMAS
No planejamento de sistemas de informao,
informao aproveitam-se todos os
casos de sucesso, todos os padres e normas existentes que ao longo do tempo
venham demonstrando maturidade suficiente para dar continuidade e fazer parte
do SGSI.
Foram analisadas todas
toda as documentaes,, como regimento interno e
portarias administrativas, para entender as reais necessidades de cada setor, e
visando mensurar a real usabilidade
usabilidade de cada recurso da tecnologia da
informao.
Para melhorar as operaes enumeramos os processos que no esto em
conformidade com a NBR ISSO/IEC 27001:2006[1], que identificar os
problemas enfrentados e propor solues para resolv-los.
resolv
Controles internos devem ser implementados para garantir ainda a
eficincia das operaes identificando os problemas enfrentados e sugeri
ugerindo
idias para resolv-los.
6. CONTROLE DE REAS DE RISCO
O processo para identificar e controlar as reas de risco elimi
elimina ou
minimiza os que podem afetar os recursos do sistema,
sistema identificao
dentificao da gravidade
e da probabilidade de ocorrncia dos mesmos.
mesmos
Para ser considerado um risco, deve-se
deve se atentar aos seguintes requisitos:

Algo provvel de acontecer;

Estimar prejuzos organizao;

Estar diretamente associado a um ativo ou bem de valor;

Ser possvel identificar de onde vem a ameaa;

Ser possvel identificar

dentificar a vulnerabilidade da ameaa.
ameaa

Riscos:
!

Risco de Negcio - Riscos de informao por tomada de decises

estratgicas equivocadas.
!

Risco Humano Podem vir de pessoas mal intencionadas ou no.

Por falta de conhecimento que pode lev-lo

lev lo a tomar decises erradas, ou
pessoas externas ou internas organizao agindo
ag
com ms intenes.

Risco Tecnolgico - A restrio de investimentos

timentos de tecnologia, a

falta de planejamento adequado destes investimentos ou o conhecimento limitado

na rea de TI resulta em solues de segurana erradas.
!

Risco de Imagem - Segurana gera confiana.

Risco Legal Atender

A
s legislaes vigentes e aos rgos

regulamentadores presentes no mercado brasileiro.

6.1. Obteno de informaes sobre o ambiente tecnolgico
A identificao
o dos pontos fortes e fracos dentro da FACSENAC para
anlise e customizao, como por exemplo:

Um
m firewall sem a devida anlise do seu log, figurando apenas
como uma barreira para potenciais invasores, sem que dele seja
extrado todo o seu potencial.

!"#" $%&'()
O grupo formado tem como meta, o planejamento do
o SGSI para
identificar e corrigir falhas nos processos em tempo hbil para a no
paralisao da organizao
anizao mantendo a sua imagem.
7. PROPOSTA
O SENAC uma instituio de ensino ligada ao Governo Federal
exercendo varias atividades, entre elas a Faculdade SENAC,, estando em
conformidade com o sistema S [6] e respaldado com a legislao do MEC
MEC[7],
e sem fins lucrativos. Ela
la formada por duas unidades de ensino que ficam
distantes geograficamente no DF. O PGSI ser primeiramente na unidade de
Braslia localizada na 902 sul.
O ciclo PDCA a metodologia proposta pela NBR ISO/IEC
27001:2006[1] para melhoria continua do SGSI e ser baseada na Tabela
Matriz de Riscos.
O PGSI est relacionado
onado com regras mtodos de proteo aplicados
sobre um conjunto de dados no sentido de preservar o valor que possui para a
Organizao[3], como:

Confidncialidade;
Confidncialidade

Integridade;

Disponibilidade.

7.1. Fatores crticos de sucesso

Garantir que 100% dos alunos da FACSENAC tenham acesso a rede Lan ou
Wireless com criptografia forte.

8. ATRIBUIO DE REGRAS E RESPONSABILIDADES

8.1. Comit
mit de Segurana da Informao
O CGSI ser formado por servidores da alta Gerncia administrativa
administrativa[4]
que possuem funes estratgicas,
estratgicas como da rea Financeira, Contabilidade,
ontabilidade,
Rh, da Gerncia Administrativa assim como da Gerncia de Informtica
Informtica,
Analista de BD, Administrador de Rede, Analista de Sistemas, e um
responsvel pela manuteno do prdio.
prdio
As decises sero tomadas em conjunto, cada colaborador com sua
funo hierrquica dentro do grupo com sua respectiva responsabilidade.
responsabilidade. Os
colaboradores da gerncia administrativa precisar trabalhar em sintonia com
as reas funcionais liderando as aes para que as melhores prticas de
segurana
a sejam atendidas e aplicadas divulgando e estabelecendo os
procedimentos para que as metas sejam alcanadas.
alcanadas
8.2. Proprietrio das Informaes
O proprietrio da informao indicado pelo grupo, cabendo a ele
ele:

Elaborar para toda informao sob sua responsabilidade, uma

relao de cargos e funes para as reas mais crticas
crticas,
concedendo e dando autoridades de acesso.

Reavaliar sempre que necessrio as concesses de acesso

concedidas cancelando ou acrescentando poderes.
po

Analisar os relatrios de controle de acesso concedidos pela

rea de gesto
esto de SI,
S , com o objetivo de identificar desvios em
relao s normas de Segurana da Informao, tomando as
aes corretivas necessrias.

Investigar incidentes de segurana da informao;

!`

Reunies
eunies peridicas com o comit de gesto de SI, prestando
esclarecimentos etc.

8.3. Classificando as informaes

A classificao da informao deve atender a poltica de segurana da
informao da FACSENAC usando recursos homologados, autorizados,
identificados, inventariados e protegidos com documentao atualizada[3].
atualizada
A classificao deve tratar a informao durante
durante o seu ciclo de vida com
seus nveis e critrios para sua criao, transporte, manuseio e descarte,
devendo ser revista periodicamente. Incidentes de segurana que trazem
prejuzos foram a reclassificao ou desclassificao dos ativos. As
informaes so
o classificadas mediante sua necessidade de sigilo, ou pela
integridade e confiabilidade:
Classificao: Ultra-secreto,
secreto, Secreto, Confidencial e Reservado;
8.4. rea de Segurana da Informao
O grupo criar uma rea de segurana
seg
relativo aos ativos enumerados
na matriz de riscos. A inteno colocar uma blindagem nesta rea
ea para que
ocorrrncias sejam tratadas imediatamente de modo a se tornar automtica de
tal maneira que seja transparent
transparente ao usurio[5].
8.5. Tratamentos de Vulnerabilidade dos Ativos
8.5.1. Ativos - 1# 2# 3# 4# 5# e 6#
O grupo formado dever propor uma higienizao e dedetizao para
toda a organizao para evitar que cabos sejam corrodos ou partidos por
roedores evitando assim que a rede tanto eltrica como lgica fiquem
danificadas causando
o paralisao dos sistemas internos, e ou externo.
Neste cenrio o grupo liderado pelo Administrador de Rede dever
propor estruturar toda a rede tanto lgica como eltrica.
A parte eltrica dever atender com rigorosa observncia todo projeto
seus detalhes, exigncia, especificaes e componentes constantes no
projeto elaborado pelo profissional da rea contratado pelo grupo e que
atenda as normas vigentes na ABNT respectiva, INMETRO etc, qu
que passe

!!

pela aprovao de rgos especficos, como Corpo de Bombeiros e outros

rgos competentes.
A parte lgica tambm deve ter o seu projeto regido pelas normas da
ABNT, INMETRO etc, e a idia central cabear todo o prdio de forma a
colocar pontos de rede onde
o
possam ser necessrio.. Todos os cabos iro
para um ponto central, onde ficam os switches e outros equipamentos de
rede.
Tudo comea com a rea central da rede, de preferncia no trreo, onde
ficaram todos os servidores,
rvidores, switches patch panel ou painel de comunicao.
Este intermedirio entre as tomadas de parede e outros pontos de conexo e
os switches da rede. Os cabos vindos dos pontos individuais so numerados e
instalados em portas correspondentes ao patch panel, e as portas utilizadas
so ligadas aos switches e os roteadores.
roteadores. Alm de melhorarem a organizao
de cabos, os patch panels permitem a conexo com um nmero maior de
pontos de rede do que portas dos switches. Veja figura abaixo. A Idea que a
rea de equipamentos seja uma rea de acesso restrito, onde os equipamentos
fiquem fisicamente protegidos com cmeras em pontos estratgicos e portarias
com identificao.
"#$%&'(D(3(i'67(

8.5.2. Ativo 3#
Os roteadores devero ser inteligentes com redundncia para prover
rota alternativa em caso
o de pane.
8.5.3. Ativo 4#
Com o crescimento da rede a maior carga vai para o backb
backbone,
tornando-se
se vulnervel, ento mensurar um backbone melhor, mais eficiente,
robusto e com capacidade de evol
evoluo.

!:

8.5.4. Ativo 5#
Os Switches devero ser inteligentes e monitorveis para se identificar
gargalos na rede e poder ter uma soluo imediata para o desempenho no cair.
8.5.5. Ativos 6# 9#
O servidor de Arquivos tem que ter um tratamento especial,
especial, assim a sua
utilizao com servidores duplicados em uma rede local, torna-se
torna se uma tcnica
de uso simples, factvel e de baixo custo,

possibilitando o aumento de

disponibilidade e da confiabilidade dos sistemas todos protegidos por um bom

antivrus.
O servidor de Banco de Dados(SGBD)
Dados(SGBD) ter que ter uma poltica de
backups eficiente e constante. O objetivo principal realizar backups dos
sistemas em produo mantendo
mantendo-os
os disponveis para a necessidade da
recuperao dos dados[2]
[2]. Mantendo-os
os fisicamente distantes para a maior
segurana.
O Analista de banco de dados dever acompanhar constantemente
con tantemente a
seu desempenho para que eventualmente construa rotinas para melhorar a
performance do BD.
8.5.6. Ativo 8#
O administrador de rede responsvel pelo FIREWAL dever manter uma
poltica de concesso de acesso a servidores de acordo com seu cargo dentro
da empresa. Dever manter o aplicativo atualizado e rever constantemente
tantemente as
regras de para segurana.
8.6. Rede Wireless
As

redes

Wireless

se

tornaram

padro

para

conexo

de

computadores, praticamente todos os modelos de roteadores perifricos que

permite compartilhar a internet banda larga com vrios micros, vem com antena
para rede sem fio, permitindo que a sua conexo a internet seja compartilhada
no s entre os micros conectados via cabo ao roteador, mas tambm com
aqueles dotados de antena para rede sem fio. Com essa popularizao
crescem

tambm as vulnerabilidades
vulnerabilidade das redes sem fio, portanto certos

cuidados bsicos devero ser tomados como:

!C

Mudana

de

senha

padro

do

roteador,
roteador,

desabilitar

funcionalidade de rede sem fio, caso no us-la;

Atualizar o firmware do roteador para mante-lo

lo livre de falhas
conhecidas, desabilitar o gerenciamento remoto;
remoto

Habilitar
abilitar e usar o tipo certo de criptografia (WPA-2)
2) sugerido
sugerido, tanto
no roteador
or como nos computadores que faro parte da rede;
rede

Configurar a freqncia para que seja garantida a conexo de

100% de todos os pontos dentro da rea determinada;
papel do Administrador de rede, fazer todo o
monitoramento da rede para impedir invases e acessos
indevidos.
10.

CONCLUSO

A existncia de um PGSI a ser implantado na FACSENAC permite ao

usurio tomar conhecimento do quo protegido e seguro estaro as suas
informaes. Do ponto de vista dos profissionais tcnicos, eles passaro a
possuir um modelo de atuao comum, evitando assim que cada equipe tenha
para si um padro desconexo das demais equipes. A grande contribuio da
metodologia permitir
itir que o responsvel pel
pelo planejamento do projeto de
segurana tenha uma viso nica do sistema de segurana da informao e
dos diversos padres, controles e mtodos que o compem.
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(

!D

**" +,-,+./0123)
t!u9 2@a;9(2VVM1=2vwM(@U2V=\>=U2(0>(aMU*2V(
2@a;9(2VVM1=2vwM(@U2V=\>=U2(0>(aMU*2V(;1a=12V9(;-64+.+$#'(,'(#4c+&E'HI+(3(;B64#6'G(,-(
;B64#6'G(,-(
G-$%&'4H'(3(V#G8-E'G(,-($-G8I+(,-(G-$%&'4H'(,'(#4c+&E'HI+9(a@U(=VMn=>1(:Y``!9
V#G8-E'G(,-($-G8I+(,-(G-$%&'4H'(,'(#4c+&E'HI+9(a@U(=VMn=>1(:Y``!9(
t:u9 ">UU>=U2[("9(a9("9[(2U2xyM[(*9(;9([("z?>UM[(29(>9[(/+.#8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+[(O%#'(/&R8#6+(
F'&'(>.'<+&'HI+(-(=EF.-E-48'HI+(:{(>,#HI+(U-L#G','[(U#+(,-(y'4-#&+[(-,#8+&'(6#j46#'(E+,-&4'[(:``]9(
HI+(:{(>,#HI+(U-L#G','[(U#+(,-(y'4-#&+[(-,#8+&'(6#j46#'(E+,-&4'[(:``]9(
HI+(:{(>,#HI+(U-L#G','[(U#+(,-(y'4-#&+[(-,#8+&'(6#j46#'(E+,-&4'[(:``]9((
tCu9 "2mV;=a=[(U+,&#$+9(2&8#$+k(/+.K8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+9(0#GF+4KL-.(-Ek(
|588FknnWWW9c'%G8#4#6+4G%.8#4$96+En'&8#$+`Q958E
588FknnWWW9c'%G8#4#6+4G%.8#4$96+En'&8#$+`Q958E9(26-GG+(-Ek(`X(G-89(:`!!9((
tDu9 /+.K8#6'(,-(V-$%&'4H'(,'(=4c+&E'HI+(
=4c+&E'HI+(3(6+E+(c'J-&9(0#GF+4KL-.(-Ek(|588Fknn'4'.#G8'8#96+EnF+.#8#6'
588Fknn'4'.#G8'8#96+EnF+.#8#6'),-)
G-$%&'46'),')#4c+&E'6'+)6+E+)c'J-&
c'J-&9(26-GG+(-Ek(`X(G-89(:`!!9(
tQu9 Vm}m~=[(*'&6#+(}'F'8-&[(U+,&#$+(9(V-$%&'4H'(,'(=4c+&E'HI+[(mE(,#c-&-46#'.(,-8-&E#4'48-(4'(
6+EF-8#L#,',-(,'G(6+&F+&'Hp-G9(0#GF+4KL-.(-Ek(
G9(0#GF+4KL-.(-Ek(
|588FknnWWW9F&+E+496+E9<&nF+&8%$%-Gn4+8#6#'Gn,+W4.+',nV-$%&'46'D^-<9F,c
588FknnWWW9F&+E+496+E9<&nF+&8%$%-Gn4+8#6#'Gn,+W4.+',nV-$%&'46'D^-<9F,c9(26-GG+(-Ek(](G-89(
9(26-GG+(-Ek(](G-89(
:`!!9((
[6]. M(P%-(B(+(V#G8-E'(V(()(V>a2=(3((0#GF+4#L-.(-E(k!<http://www.senai.br/br/ParaVoce/faq.aspx
http://www.senai.br/br/ParaVoce/faq.aspx>. Acesso
em 02/10/2011.
[7]. \-$#G.'HI+('F.#6','('+(G#G8-E'((V(3(0#GF+4#L-.(-E(k(
\-$#G.'HI+('F.#6','('+(G#G8-E'((V(
http://portal.mec.gov.br/index.php?option=com_content&task=view&id=11613. Acesso em 02/10/2011
http://portal.mec.gov.br/index.php?option=com_content&task=view&id=11613.
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(
(

!Q

(
(
(
(
(
(
(
(
(

MINI-CURRCULO
CURRCULO DOS AUTORES
Autor(a)1.
Jacy Ferreira Graduado em Anlise de Sistemas pela Universidade So
Francisco-SP (1995). Ps-Graduando
Graduando em Segurana da Informao na FACSENAC
- Faculdade Senac em Braslia/DF.
Autor(a)2.
Daniel Cordeiro Gouveia Graduado em Tecnologia em Rede de Computadores
pela FAMA- AP (2009). Ps-Graduando
Ps Graduando em Segurana da Informao na
FACSENAC - Faculdade Senac em Braslia/DF.
Autor(a)3.
Carlos Magno de Oliveira Cutrim Graduado em Anlise de Sistemas pela Unio
Pioneira de
e Integrao Social--DF(2005).
Social
Ps-Graduando
Graduando em Segurana da
Informao na FACSENAC Faculdade Senac em Brasilia/DF.
Autor(a)3.
Edilberto Magalhes Silva - Mestre em Gesto do Conhecimento e da Tecnologia
da Informao pela Universidade Catlica de Braslia
Braslia (2002) e Bacharel em Cincia
da Computao - Faculdades Integradas do Planalto Central (1996). Ps-Graduando
Ps Graduando
em Gesto de Tecnologia da Informao pela Universidade Senac-SP
Senac SP (2010
(2010-) e
Ps-Graduando
Graduando em Engenharia de Requisitos e Modelagem de Negcios p
pela
Universidade Federal do Rio Grande do Sul (2010-).
(2010 ). Funcionrio Pblico lotado no
MCT - Ministrio de Cincia e Tecnologia Braslia/DF como Analista em TI. Docente
na graduao da FACSENAC - Faculdade Senac em Braslia/DF (Gesto de
Tecnologia da Informao)
ao) e Docente titular da UNIPLAC - Unio Educacional do
Planalto Central na graduao (Bacharel em Sistemas de Informao). Docente na
ps-graduao
graduao (Banco de Dados, Segurana da Informao e Design Digital) na
FACSENAC/DF. Tutor no curso de especializao
especializa
lato sensu (ps-graduao)
graduao) em
segurana da informao na UnB/DF (modalidade EAD). Experincia profissional e
de docncia nas reas de: Segurana da Informao, Desenvolvimento de
Sistemas, Hardware, Metodologia de Pesquisa Aplicada, Anlise e Modelagem de
Sistemas, Banco de Dados e CICS Plataforma Alta (Mainframe).
(http://www.edilms.eti.br - edilms@yahoo.com)
(
(
(