1. 1
Diego Villendel Rodrigues Rocha
SEGURANÇA DA INFORMAÇÃO EM AMBIENTES CORPORATIVOS:
ANÁLISE DE SEGURANÇA DA INFORMAÇÃO DO DISTRITO DO
GORUTUBA E VERIFICAÇÃO DA SUA ADEQUAÇÃO À
NBR ISO/IEC 27002:2005
Monografia apresentada ao Curso de
Engenharia da Computação da Faculdade
de Ciência e Tecnologia de Montes Claros,
como parte dos requisitos para obtenção do
diploma de Engenheiro da Computação.
Orientador: PROF. RODRIGO CAETANO
FILGUEIRA
Montes Claros
2012

2. 2
FUNDAÇÃO EDUCACIONAL MONTES CLAROS
Faculdade de Ciência e Tecnologia de Montes Claros
Diego Villendel Rodrigues Rocha
SEGURANÇA DA INFORMAÇÃO EM AMBIENTES CORPORATIVOS:
ANÁLISE DE SEGURANÇA DA INFORMAÇÃO DO DISTRITO DO
GORUTUBA E VERIFICAÇÃO DA SUA ADEQUAÇÃO À
NBR ISO/IEC 27002:2005
Esta monografia foi julgada adequada
como parte dos requisitos para a
obtenção do diploma de Engenheiro da
Computação aprovada pela banca
examinadora da Faculdade de Ciência e
Tecnologia de Montes Claros.
______________________________________
Prof. Maurílio José Inácio
Coord. do Curso de Engenharia da Computação
Banca Examinadora
Prof. Rodrigo Caetano Filgueira, FACIT/
(Orientador) _______________________________________
Prof. Ms. Leonardo Santos Amaral
_______________________________________
Montes Claros, 26 de novembro de 2012

3. 3
Dedico este trabalho as pessoas que viram nos
meus olhos não apenas um sonho, mas sim o
brilho de quem sonha em ser um vencedor.

4. 4
AGRADECIMENTOS
Agradeço primeiramente a Deus por me dar a oportunidade de chegar a um momento tão
importante em minha vida e aos meus pais pelo devido apoio e compreensão da minha
ausência, justificada pela execução deste importante trabalho. Agradeço aos meus amigos pela
força e apoio dado nos momentos difíceis e aos professores por contribuírem diretamente na
minha formação e na construção de meus sonhos.

5. 5
"Computadores e redes podem mudar nossas
vidas para melhor ou para pior. O mundo virtual
tem as mesmas características do mundo real, e
há tempos, os eventos de segurança, ataques e
invasões a computadores deixaram de ser
atividades solitárias e não destrutivas."
Adriano Mauro Cansian – Professor Titular da
Unesp.

6. 6
RESUMO
Esta pesquisa visa abordar os principais métodos, equipamentos, tecnologias e procedimentos
necessários para garantir à segurança da informação em ambientes corporativos com acesso a
internet.
Como fundamentos para a pesquisa, foram revisados os principais conceitos de segurança da
informação, bem como a sua necessidade do mundo atual, conceitos de redes de
computadores, segurança de rede e a norma NBR ISO/IEC 27002 que sugere implementações
para serem aplicados em ambientes corporativos visando obter melhores resultados em
segurança da informação e tratar seus incidentes.
Para ilustrar o estudo, foi feita uma análise em um ambiente empresarial real, identificando os
equipamentos da rede de computadores e levantando os principais meios utilizados na
empresa para garantir a segurança no tráfego das informações objetivando verificar a
conformidade desses métodos com as normas técnicas. Para servir de parâmetros para a
análise de segurança, foi feita a aplicação de um formulário no ambiente pesquisado com o
objetivo de se ter uma avaliação das implementações de segurança da informação do ambiente
pesquisado em relação a NBR ISO/IEC 27002.
Palavras-Chave: Segurança de rede, segurança da informação, NBR ISO/IEC 27002.

7. 7
ABSTRACT
This research aims to approach the main methods, equipment, technologies and procedures to
ensure the security of information in corporative environments with internet access.
As fundamentals for the search, main concepts of information security were revised, as well
as its necessity in the world nowadays, concepts of computer networks, network security and
NBR ISO/IEC 27002 rule that suggests that implementations to be applied in environments
corporative to obtain better results in information security and treat their incidents.
In order to illustrate the study, an analysis in a real business environment was done,
identifying the equipment of the computer network and raising the main means used in the
company to ensure the safety of traffic information in order to verify the compliance of these
methods with technical standards. To serve as parameters for the safety analysis, the
application was made in the form of a searchable environment in order to get an assessment of
implementations of information security environment studied in relation to ISO/IEC 27002.
Keywords: Network security, information security, NBR ISO/IEC 27002.

8. 8
LISTA DE ILUSTRAÇÕES
FIGURA 1 - Topologia de rede ponto a ponto ......................................................................... 14
FIGURA 2 - Topologia de rede barramento ............................................................................. 15
FIGURA 3 - Topologia de rede anel ........................................................................................ 15
FIGURA 4 - Topologia de rede estrela .................................................................................... 16
QUADRO 1 - Modelo OSI na forma de pilha .......................................................................... 16
FIGURA 5 - TCP/IP e sua correspondência com o modelo OSI ............................................. 19
GRÁFICO 1 - Relatório de evolução do número de incidentes de segurança da informação
registrados no Brasil ................................................................................................................. 21
GRÁFICO 2 - Países de países que originam ataques aos sistemas brasileiros ....................... 22
FIGURA 6 - Exemplo de implementação do firewall .............................................................. 23
FIGURA 7 - Exemplo de implementação do DMZ ................................................................. 24
FIGURA 8 - Arquitetura da rede de computadores do DTGA ................................................ 34
FIGURA 9 - Servidor de arquivos local do DTGA e nobreak ................................................. 34
FIGURA 10 - Equipamentos de rede (modem, roteador, switch e patch panel ....................... 35
GRÁFICO 3 - Resultados obtidos por seção da norma ............................................................ 39
GRÁFICO 4 - Resultado geral da análise do formulário ......................................................... 40

9. 9
LISTA DE SIGLAS
ABNT – Associação Brasileira de Normas Técnicas
ACL - Access Control Lists
AES - Advanced Encryption Standard
AH - Authentication Header
ARP - Addres Resolution Protocol
CERT - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
COPASA – Companhia de Saneamento de Minas Gerais
DES - Data Encryption
DMZ – DeMilitarized Zone Network
DNS - Domain Name System
DTGA – Distrito do Gorutuba
ESP - Encapsulating Security Payload
FTP – File Transfer Protocol
HIDS - IDS baseado em Host
HTTP - Hypertext Transfer Protocol
ICMP - Internet Control Message Protocol
IDS – Intrusion Detection Systems
IEC - International Electrotechnical Commission
IP – Internet Protocol
IPsec – IP Security
ISO - Institute of Standardization Organization
NBR – Norma Brasileira Regulamentatória
NIDS - IDS baseado em rede
NP – Norma de Procedimentos
OSI - Open Systems Interconnection
RARP – Reverse Addres Resolution Protocol
SMTP - Simple Mail Transfer Protocol
SPI - Security Parameters Index
TCP - Transmission Control Protocol
UDP – User Datagram Protocol
VPN – Virtual Private Network

10. 10
SUMÁRIO
INTRODUÇÃO ...................................................................................................................... 12
CAPÍTULO 1 REDES DE COMPUTADORES E SEGURANÇA DE REDE ................. 14
1.1 Redes de Computadores ..................................................................................................... 14
1.2 Modelo OSI ........................................................................................................................ 16
1.3 TCP/IP ................................................................................................................................ 18
1.4 Internet ............................................................................................................................... 19
1.5 Necessidade de segurança de redes .................................................................................... 19
1.6 Segurança de rede ............................................................................................................... 22
1.6.1 Firewall ........................................................................................................................... 23
1.6.1.1 DMZ ............................................................................................................................. 24
1.6.2 Criptografia...................................................................................................................... 24
1.6.3 IPSec ................................................................................................................................ 25
1.6.4 VPN ................................................................................................................................. 25
1.6.5 Sistema de detecção de intrusão ...................................................................................... 26
1.6.6 Autenticação e controle de acesso ................................................................................... 26
1.6.7 Elementos essenciais de segurança da informação.......................................................... 27
1.7 NBR/IEC ISO 27002:2005 ................................................................................................. 27
1.7.1 Política de segurança da informação ............................................................................... 28
1.7.2 Organizando a segurança da informação ......................................................................... 28
1.7.3 Gestão de ativos ............................................................................................................... 29
1.7.4 Segurança em recursos humanos ..................................................................................... 29
1.7.5 Segurança física e do ambiente ....................................................................................... 29
1.7.6 Gerenciamento das operações e comunicação................................................................. 30
1.7.7 Controle de acessos ......................................................................................................... 30
1.7.8 Aquisição, desenvolvimento e manutenção de sistemas de informação ......................... 30
1.7.9 Gestão de incidentes de segurança da informação .......................................................... 31
1.7.10 Gestão da continuidade do negócio ............................................................................... 31
1.7.11 Conformidade ................................................................................................................ 31
CAPÍTULO 2 MATERIAIS E MÉTODOS ......................................................................... 33

11. 11
2.1 Descrições do ambiente de pesquisa .................................................................................. 33
2.2 Metodologias da pesquisa................................................................................................... 36
2.3 Aplicação de formulário para levantamento de informações ............................................. 36
2.4 Análise dos elementos essenciais de segurança da informação ......................................... 37
CAPÍTULO 3 RESULTADOS .............................................................................................. 39
CAPÍTULO 4 ANÁLISE E DISCURSÃO DOS RESULTADOS ...................................... 41
CONSIDERAÇÕES FINAIS ................................................................................................. 45
REFERÊNCIAS ..................................................................................................................... 47
APÊNDICE A – FORMULÁRIO DE VERIFICAÇÃO DE ADEQUAÇÃO A NBR
ISO/IEC 27002:2005 ............................................................................................................... 49

12. 12
INTRODUÇÃO
A necessidade de informatizar os processos de negócio, bem como o investimento em
segurança da informação é algo extremamente importante e comum em qualquer empresa que
visa a competitividade no mundo contemporâneo. A segurança da informação tem o objetivo
de garantir a sobrevivência de negócios em empresas que possuem os processos
informatizados totalmente envolvidos com o desenvolvimento das atividades. Visa garantir a
confiabilidade e continuidade dos negócios, melhora a imagem da empresa perante o
mercado, evita perdas e transtornos e com isso facilita o exercício das atividades fins da
empresa. Existem normas que regulamentam as boas práticas de segurança da informação,
dentre elas a NBR ISO/IEC 27002:2005 que será objeto de nosso estudo e fundamental para
obtenção dos resultados dessa pesquisa.
Essa pesquisa tem o objetivo de apontar os principais itens, conceitos e tecnologias da
segurança da informação, efetuar o estudo da norma que regulamenta as práticas de segurança
da informação em um ambiente empresarial e aplicar essa norma em um ambiente corporativo
real. As hipóteses principais desta pesquisa é que a NBR ISO/IEC 27002 é eficaz e que o
ambiente empresarial estudado é seguro no tratamento de informações, nas quais essas
hipóteses serão verificadas nas discussões dos resultados. Com a aplicação desta pesquisa,
poderemos concluir se segurança da informação em sistemas de informação das empresas é
realmente necessário, se o ambiente estudado é seguro, se as práticas sugeridas pela norma
são aplicáveis e eficazes.
O Capítulo 1 mostra, de acordo com a literatura dos principais autores de obras sobre redes de
computadores e segurança de redes, onde são destacados os principais conceitos de redes de
computadores, os principais protocolos de comunicação, necessidade de segurança da
informação, principais conceitos de segurança de redes, seus equipamentos e tecnologias. É
feita também uma pequena revisão sobre a NBR ISO/IEC 27002:2005, destacando de forma
geral as seções em que são organizadas essa norma e suas principais abordagens e
recomendações.
O Capítulo 2 tem o objetivo de apresentar o ambiente pesquisado e os materiais e métodos
utilizados para desenvolver a pesquisa. É feita a apresentação da estrutura de redes de
computadores de uma unidade administrativa da Copasa, denominada DTGA, relatadas as
principais práticas de segurança da informação identificadas e feita uma análise dos elementos
essenciais da segurança da informação. Neste capítulo também é explicado a estrutura e

13. 13
objetivos do formulário aplicado nesta pesquisa para verificação da adequação das práticas do
ambiente pesquisado em relação a norma apresentada.
No Capítulo 3 são apresentados os gráficos com os resultados obtidos com a aplicação do
formulário acima citado e no Capítulo 4 são analisados e discutidos esses resultados obtidos,
identificando os principais pontos positivos e negativos que influenciaram na obtenção dos
resultados.
Nas considerações finais é apresentada uma conclusão geral da pesquisa e dos resultados, são
sugeridas adaptações que podem ser aplicadas pela empresa para melhorar a segurança da
informação e adequação a norma regulamentadora e são expostos alguns tópicos para futuras
pesquisas.
No apêndice é apresentado o formulário aplicado para levantamento de informações para
obtenção e discussão dos resultados.

14. 14
CAPÍTULO 1 REDES DE COMPUTADORES E SEGURANÇA DE REDES
1.1 Redes de Computadores
Referem-se a redes de computadores quando dois ou mais computadores estão interligados
sob algum meio e regida sob um conjunto de protocolos, com o intuito de transferir ou
compartilhar dados, informações ou recursos, encurtar distâncias, unir departamentos, entre
outros. Também podemos definir rede de computadores como "um conjunto de computadores
autônomos interconectados por uma única tecnologia" (TANENBAUM, 2003, p. 15).
Segundo Valle e Ulbrich (2009), as redes de computadores evoluíram das redes telefônicas,
que foi uma evolução dos telégrafos.
As redes de computadores são compostas de vários componentes físicos (estrutura física),
organizados sob algum tipo de organização (topologia) e regidos sob algumas normas
(protocolos). A estrutura física inclui os equipamentos de hardware que compõem a rede,
como: hubs, switches, roteadores, placas de rede, cabeamento, antenas, servidores, clientes,
etc. As principais topologias são : ponto a ponto, barramento, anel e estrela.
FIGURA 1 - Topologia de rede ponto a ponto
Fonte: Autoria própria
Na topologia ponto a ponto, também conhecida como linear, os computadores são ligados em
série e os dados transmitidos passam por todos os computadores, mas somente são
interceptados pela máquina receptora.

15. 15
FIGURA 2 - Topologia de rede barramento
Fonte: Autoria própria
Na topologia de redes em barramento, os computadores compartilham um mesmo barramento
físico, geralmente esse barramento é um cabo coaxial. Uma característica dessa topologia é
que apenas uma máquina pode escrever no barramento por vez, os dados chegam a todas as
máquinas, porém apenas a máquina destinatária pode captar os dados.
FIGURA 3 - Topologia de rede anel
Fonte: Autoria própria
Na topologia em anel, os computadores são ligados em um circuito fechado, como um circulo.
Segundo Valle e Ulbrich (2009), um exemplo dessa topologia é a conhecida como Token
Ring.

16. 16
FIGURA 4 - Topologia de rede estrela
Fonte: Autoria própria
Na topologia em forma de estrela, os computadores são interligados por um equipamento
centralizador, como um hub ou switch, em que todos os dados têm que obrigatoriamente
passar por esse dispositivo.
1.2 Modelo OSI
O Open Systems Interconnection (OSI) é um modelo de conjunto de protocolos de
comunicação organizada em uma pilha de 7 camadas: física, enlace, rede, transporte, sessão,
apresentação e aplicação. Como mostrada no Quad. 1 abaixo.
QUADRO 1
Modelo OSI na forma de pilha
Fonte: Autoria própria

17. 17
Cada camada é composta por um conjunto de protocolos responsável por oferecer um
conjunto de serviços específicos. "Os protocolos são agrupados em famílias organizadas em
camadas que, por sua vez, formam uma pilha" (ALBUQUERQUE, 2001, p. 10). A pilha pode
ser observada no Quad.1, onde as camadas são organizadas uma sobre a outra seguindo uma
certa ordem.
A camada de Aplicação tem a função de fazer "a interface entre o protocolo de comunicação e
o aplicativo que pediu ou receberá a informação através da rede" (TORRES, 2001, p. 43).
Essa camada é a que está mais próxima ao usuário.
A camada de Apresentação traduz os dados recebidos pela aplicação a um formato comum a
ser usado na transferência. Essa camada "está relacionada a sintaxe e a semântica das
informações transmitidas" (TANENBAUM, 2003, p. 45), ou seja, está diretamente
relacionada com a forma com que os dados serão apresentados. "Pode ter outros usos, como
compressão de dados e criptografia" (TORRES, 2001, p. 44).
A camada de Sessão é responsável por estabelecer uma comunicação entre dois
computadores, define como será feita a transmissão e insere marcadores nos dados para que
caso haja alguma falha na transmissão, esta pode ser retomada a partir dos dados marcados.
Complementando, segundo Tanenbaum (2003), essa camada oferece diversos serviços como:
controle de diálogo (define quem irá transmitir), gerenciamento de símbolos (impede a
execução de uma operação crítica simultaneamente por duas aplicações diferentes) e
sincronização (marcação dos dados).
A camada de Transporte é responsável por receber os dados da camada de Sessão, fragmentá-
los, se necessário, e repassá-los a camada inferior (Rede). No receptor é responsável por
remontar esses fragmentos e entregá-los a camada de sessão. Também "oferece recuperação
de erro e controle de fluxo de ponta a ponta" (STALLINGS, 2002, p. 97).
A camada de Rede é responsável por endereçar os pacotes recebidos da camada de
Transporte, converter endereço lógico em endereço físico e definir o caminho pelo qual o
pacote irá seguir, evitando congestionamento e buscando otimizar a rota (roteamento), já que
as redes possuem sempre mais de um caminho.
A camada de Enlace, também conhecida como Link de Dados, recebe os pacotes de dados da
camada de Rede e os transforma em quadros, adicionando alguns dados em seu cabeçalho,
como endereço físico da placa de rede de origem e destino. É responsável por controlar o
tráfego na transferência, caso a velocidade do transmissor e receptor apresentem
incompatibilidade. Na recepção, segundo Torres (2001), confere se o dado chegou íntegro,

18. 18
enviando uma confirmação de recebimento, que caso não seja recebido, faz com que o
transmissor re-envie o quadro.
A camada Física é a camada mais inferior da estrutura do modelo OSI. Segundo Torres
(2001), essa camada recebe os dados da camada de enlace e os transforma em sinais
compatíveis com o meio em que serão transmitidos. Complementando, "lida com
características mecânicas, elétricas, funcionais e de procedimento para acessar o meio físico"
(STALLINGS, 2002, p.97), ou seja, define como os dados serão transmitidos conforme o
meio, tendo, como exemplo a conversão para sinais elétricos se o meio for elétrico, sinais
luminosos se o meio for óptico ou sinais de ondas de rádio se o meio for atmosférico.
1.3 TCP/IP
TCP/IP é um protocolo, ou seja, é um conjunto de protocolos de redes, no qual dois dos
principais derivaram o seu nome. Segundo Torres (2001), é o protocolo mais utilizado em
redes locais, foi feito para ser utilizado na internet, atualmente é suportado em todos os
sistemas operacionais e é roteável, ou seja, feito para ser utilizado em redes grandes e de
longa distância podendo ter vários caminhos para o dado chegar ao destino.
O protocolo TCP/IP é dividido em 4 camadas: aplicação, transporte, internet e interface com a
rede (inter-redes).
A camada de Aplicação, segundo Valle e Ulbrich (2009), é responsável pela comunicação
entre o protocolo de transporte e os aplicativos que solicitam os recursos da rede, como DNS,
FTP, HTTP, SMTP, entre outros. Corresponde as camadas de aplicação, apresentação e
sessão do modelo OSI.
A camada de Transporte do modelo TCP/IP equivale à camada de mesmo nome do modelo
OSI. Segundo Torres (2001), essa camada transforma em pacotes os dados recebidos da
camada de Aplicação e passa-os a camada de Internet, utiliza o esquema de multiplexação,
que possibilita a transmissão de dados de várias aplicações simultaneamente e utiliza o
conceito de portas. Nessa camada operam os protocolos Transmission Control Protocol
(TCP) e User Datagram Protocol (UDP), sendo o TCP orientado a conexão, ou seja, verifica
se o dado realmente chegou ao destino, e o UDP, que não tem essa característica do TCP, e
com isso garante maior velocidade na entrega do pacote, mas sem garantia de entrega.
A camada de Internet, como no modelo OSI, "é responsável pela organização e roteamento
dos pacotes definindo seus endereços" (VALLE; ULBRICH, 2009, p. 55). Atuam nessa

19. 19
camada os protocolos Internet Protocol (IP), Internet Control Message Protocol (ICMP),
Addres Resolution Protocol (ARP) e Reverse Addres Resolution Protocol (RARP).
A camada de Interface com a Rede equivale com as camadas de Enlace e Física do modelo
OSI e é responsável por enviar os dados recebidos pela camada de Internet pela rede.
FIGURA 5 - Modelo TCP/IP e sua correspondência com o modelo OSI
Fonte: Autoria própria
1.4 Internet
A internet, ou rede mundial de computadores, segundo Valle e Ulbrich (2009), é o conjunto
de redes espalhadas pelo mundo baseadas no protocolo TCP/IP, formada por redes de alta
capacidade, conectadas a computadores altamente poderosos conhecidos como backbones. O
paradigma da internet é baseada na comutação por pacotes e cada computador ligado a
internet possui um único endereço lógico único (IP) que identifica não só a máquina
propriamente dita, como também a rede a qual pertence.
Com a internet é possível estabelecer a comunicação entre computadores localizados em
qualquer lugar do planeta, que também esteja conectado a internet, acessar sites, transferir
arquivos, trocar emails, entre diversas outras funcionalidades.
1.5 Necessidade de segurança de redes
A aplicação da segurança em redes de comunicação de computadores passou a ser necessária
quando, com a evolução da tecnologia de processamento de dados, as corporações passaram a
utilizar os meios computacionais para solucionar problemas das empresas e armazenar suas

20. 20
informações. A segurança de dados e informações antigamente era exclusivamente física,
Stallings (2002) cita como exemplo de segurança de dados o uso dos grandes armários
trancados com fechaduras de segredo para guardar documentos importantes.
Atualmente, o uso dos recursos computacionais e dos meios de telecomunicações é de
extrema importância para o desenvolvimento e organização de qualquer instituição. Empresas
que não se adequam ou acompanham os avanços das tecnologias digitais apresentam cada vez
mais dificuldade de se manterem vivas em um mercado que está cada vez mais exigente e
competitivo.
Computação, hoje, está presente em praticamente todos os ambientes que o ser humano pode
conviver, seja utilizando internet em casa para acessar algum site de relacionamento ou
efetuar o pagamento de contas, gerenciando e compartilhando informações em um ambiente
empresarial ou acessando internet via celular através de uma rede de comunicação pública.
Os avanços das redes de computadores e internet facilitaram a troca e compartilhamento de
informações entre pessoas localizadas em qualquer extremidade do mundo, fazendo com que
o acesso a redes privadas e locais por pessoas indevidas, se tornasse cada vez mais viáveis.
Paralelamente ao crescimento do uso dos recursos computacionais, cresceu-se também o
número de ataques a esses ambientes, visando roubo de dados confidenciais, para
prejudicarem alguma instituição ou pessoa ou até mesmo somente para que o invasor mostre
sua capacidade de invadir uma rede e provocar algum tipo de dano. A tecnologia não só
facilitou a vida da sociedade, como também abriu oportunidade de indivíduos maliciosos se
aproveitarem desses meios para praticarem atos ilícitos. Segundo Melo (2009), com uso
crescente de recursos na internet, a ampliação da infra-estrutura e softwares de natureza
ilícita, de fácil acesso e utilização, tem como consequência o significativo aumento de
invasões de computadores e roubo de informações.

21. 21
GRÁFICO 1 - Relatório de evolução do número de incidentes de segurança da informação registrados no Brasil
Fonte: www.cert.br
O Graf. 1 acima mostra a evolução do número de ataques registrados do ano de 1999 até
junho de 2012 no Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no
Brasil (Cert.br), que é grupo de resposta a incidentes de segurança para a internet brasileira. O
número de ataques registrados em 2011 é quase 130 vezes maior do que o registrado no inicio
da contagem em 1999.

22. 22
GRÁFICO 2 - Países que originam ataques aos sistemas brasileiros
Fonte: www.cert.br
O Graf. 2 ilustra de que país surge os principais ataques aos sistemas brasileiros, sendo
destacada a maior parte originada do próprio Brasil.
Como a sociedade atual passou a ser totalmente dependente dos computadores e analisando a
importância que esse recurso se tornou para o desenvolvimento econômico e social, viu-se a
necessidade de investir em meios, técnicas, equipamentos e estruturas visando à segurança no
armazenamento e transferência de informações, visando evitar a perda, extravio ou uso
indevido dessas informações.
1.6 Segurança de rede
Segurança de rede é a expressão utilizada quando se refere as implementações, equipamentos,
técnicas, métodos visando garantir a integridade, disponibilidade, autenticidade e
confidencialidade dos dados trafegados pela rede, bem como garantir o pleno funcionamento
da estrutura de redes. Segundo Tanenbaum (2009), a segurança de redes pode ser dividida em
sigilo (manter as informações longe de usuários não autorizados), autenticação (determinar os
agentes da comunicação), não repúdio (provar a autenticidade da comunicação) e controle de
integridade (provar a legitimidade da comunicação).
As implementações de segurança podem ser distribuídas, segundo Tanenbaum (2003), em
diversas camadas do encapsulamento da comunicação. Na camada de enlace pode ser aplicada

23. 23
a criptografia de enlace, codificando mensagens ao sair de uma máquina e decodificando ao
entrar em outra. Na camada de rede podem ser instalados firewalls para monitorar e filtrar os
dados que circulam pela rede. Na camada de transporte pode-se criptografar conexões
inteiras. E na camada de aplicação podem ser feitas as autenticações de usuários.
1.6.1 Firewall
Em geral firewall, segundo Pfaffenberger (1998), pode ou não ser uma máquina, ou talvez um
software, com o objetivo de conter o tráfego ou acesso indevido através da análise do
cabeçalho dos pacotes que trafegam na rede, filtrando esses pacotes que infringem as regras
estabelecidas em uma política de segurança.
FIGURA 6 - Exemplo de implementação do firewall
Fonte: Autoria própria
Os firewalls basicamente se dividem em duas categorias: firewall de rede ou firewall de
gateway de aplicativo (proxy). Os firewalls de rede, geralmente, são roteadores com
capacidade de filtrar pacotes podendo negar acesso analisando diversos fatores como
endereço (origem e destino), protocolo, número de porta (origem ou destino) ou conteúdo. O
gateway de aplicação, segundo Tanenbaum, não examina pacotes brutos, atua também na
camada de aplicação, verificando dados do cabeçalho referentes a aplicação e tamanho da
mensagem.
Existem diversas implementações de firewall, podendo ser utilizados até mais de um firewall
dependendo da finalidade, arquitetura da rede e do nível de segurança exigido. Pode-se
destacar o uso de firewalls na entrada da rede local, isolando servidores, isolando os
servidores da rede interna, filtrando dados entre sub-redes, DMZ, dentre outras.

24. 24
1.6.1.1 DMZ
DeMilitarized Zone Network (DMZ) ou simplesmente Rede Desmilitarizada, é uma
configuração em que são utilizados dois firewalls, um na saída para a rede externa e outro na
entrada da rede interna conforme a figura abaixo.
FIGURA 7 - Exemplo de implementação do DMZ
Fonte: Autoria própria
Nessa figura o Firewall 1 tem a função de filtrar o acesso aos servidores localizados na DMZ,
enquanto o Firewall 2 tem a função de filtrar o fluxo de dados que entra e sai da rede interna.
1.6.2 Criptografia
Criptografar é uma técnica que cifra os dados antes de serem enviados, e esses dados são
decifrados no recebimento, "consiste em traduzir os dados para um formato não
compreensível" (ALBUQUERQUE, 2001, p. 219). É composto de algoritmos que
representam a função de chaves, trancando e abrindo o código criptografado.
Albuquerque (2001) categoriza os algoritmos de criptografia como: chave privada
(simétricos), chave pública e chave de sessão.
Nos algoritmos de chave privada são utilizados uma mesma chave para cifrar e decifrar.
Exemplos desse algoritmo são o Data Encryption (DES), o Advanced Encryption Standard
(AES) e o Triple-DES. A segurança desse algoritmo está restrito a segurança da chaves, sendo
que se a chave for descoberta os dados poderão ser acessados.

25. 25
Os algoritmos de chave pública possuem uma chave para cifrar e outra para decifrar, sendo a
primeira de conhecimento público e a última de conhecimento privado. Exemplos desse
algoritmo são o Diffie-Hellman e RSA. Esses algoritmos possuem a desvantagem de
consumir muito poder computacional.
Os algoritmos baseados em chaves de sessão utilizam tanto algoritmos de chaves públicas
quanto de chaves privadas, consomem bem menos recursos do que estes, porém mantém a
mesma capacidade de segurança.
1.6.3 IPSec
O IPSec ou IP Security possibilita a conexão segura em redes TCP/IP e é obrigatório em redes
que utilizam o IPv6. Segundo Albuquerque (2001), garante o sigilo, autenticidade e
integridade dos dados nos pacotes IP. Stallings (2005) cita que o IPSec oferece três funções
principais, sendo a Authentication Header (AH) responsável pela autenticação, a
Encapsulating Security Payload (ESP) responsável pela autenticação/criptografia e uma
terceira função de troca de chave.
O AH possui informações, segundo Stallings (2005), de identificação do próximo cabeçalho,
tamanho da assinatura digital, Security Parameters Index (SPI) e assinatura digital.
O ESP é utilizado para manter o sigilo dos dados, integridade e autenticidade. De acordo com
Stallings (2005), o ESP pode trabalhar no modo de transporte ou túnel, sendo o transporte
oferece proteção dos protocolos de camada superior, e o modo túnel protege (criptografa) o
pacote IP inteiro.
1.6.4 Virtual Private Network
Uma Virtual Private Network (VPN) ou Rede Virtual Privada usa os recursos da internet para
interligar diversas redes de uma organização.
Basicamente, uma VPN consiste em um conjunto de computadores interconectados
por meios de uma rede relativamente insegura e que utiliza a criptografia e
protocolos especiais para fornecer segurança. Em cada local corporativo, estações de
trabalho, servidores e bancos de dados são conectados por uma ou mais redes locais
(LANs) (STALLINGS, 2005, p. 397).

26. 26
A VPN permite a comunicação remota entre os departamentos, utilizando de provedores
comerciais, não sendo necessários investimentos em equipamentos de comunicação por parte
da empresa. A comunicação é criptografada para garantir a segurança e pode ser necessário o
uso de firewalls para reforçar a segurança e controlar o acesso às redes.
1.6.5 Sistema de detecção de intrusão
O sistema de detecção de intrusão, ou Intrusion Detections Systems (IDS), segundo Nakamura
e Geus (2010), é extremamente importante em um ambiente corporativo. Com ele é possível
detectar diversos ataques e com isso tomar as devidas providências antes que o ataque tome
maiores consequências. Esse sistema tem o objetivo de detectar atividades suspeitas e serve
de complemento para as atividades não protegidas pelo firewall.
Segundo Nakamura e Geus (2010), os tipos de detecção realizados pelo IDS dependem do
tipo de IDS, metodologia de detecção, posicionamento dos sensores e localização do IDS.
As principais características, de acordo com Moraes (2010), são: execução contínua,
tolerância a falhas, mínimo de overhead da rede e dificuldade de ser atacado.
Segundo Nakamura e Geus (2010), os principais tipos de IDS são: IDS baseado em Host
(HIDS), IDS baseado em rede (NIDS) e o IDS híbrido. O HIDS monitora os arquivos de logs,
monitora um segmento de tráfego de rede e o híbrido é uma mistura das duas características.
1.6.6 Autenticação e controle de acesso
A autenticação visa garantir que a pessoa que tenta acessar determinado sistema é autêntica. A
autenticação, segundo Nakamura e Geos (2010), pode ser realizada com base no que o usuário
sabe, como senha ou chave criptográfica, com base no que o usuário possui, como cartão ou
token, ou com base nas características do usuário, como características biométricas.
O Controle de acesso, que se divide em controle de acesso lógico e externo, garante que os
recursos e informações sejam acessados de forma correta e por usuários devidamente
autorizados a acessá-las e é responsável por: proteger contra modificações não autorizadas,
garantir a integridade e disponibilidade das informações e garantir o sigilo das informações.
Os principais métodos de controle de acesso lógico são Access Control Lists (ACL), utilizada
em firewalls, uso de interface com usuários e labels. O principal método de controle de acesso
externo é implementado através de firewalls.

27. 27
1.6.7 Elementos essenciais de segurança da informação
Alguns elementos são fundamentais para definir o nível de segurança das organizações.
Segundo Stallings (2002), a segurança de computador e de rede trata dos seguintes requisitos:
privacidade, integridade, disponibilidade e autenticidade. Para Pinheiro (2005), para cumprir
esses objetivos são necessários seguir quatro paradigmas básicos: integridade,
confidencialidade, disponibilidade e legalidade.
Para verificar o nível de segurança no ambiente estudado, vamos conceituar os elementos
integridade, confidencialidade, disponibilidade e auditoria.
Segundo Moraes (2012), integridade é garantir que a informação não seja alterada durante a
transmissão ou armazenamento sem prévia autorização, ou seja, a informação enviada será
idêntica a informação recebida.
A confidencialidade, segundo Moraes (2012), é garantir que os recursos e informações não
sejam acessados por usuários não autorizados.
A disponibilidade garante que os recursos estarão disponíveis sempre que necessário.
Auditoria, segundo Moraes (2012), consiste em manter registros (logs) de ações ocorridas na
rede, monitorar o tráfego de informações e registrar para uma futura auditoria de verificação
de irregularidades. Assim, caso seja necessário uma inspeção futura, os registros estarão
disponíveis para a verificação e identificação das possíveis irregularidades que possam
ocorrer.
1.7 ABNT NBR ISO/IEC 27002:2005
De acordo com a ABNT (2005), a NBR ISO/IEC 27002 é uma norma técnica elaborada pela
Associação Brasileira de Normas Técnicas (ABNT) em 2005, baseada na ISO/IEC 27002 de
autoria do Institute of Standardization Organization (ISO) em substituição a NBR ISO/IEC
17799 de 2005. Esta norma apresenta alguns conceitos de segurança da informação, sua
necessidade, requisitos, análise de risco, controle e elaboração de diretrizes.
Os principais objetivos da NBR 27002 são estabelecer "diretrizes e princípios gerais para
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma
organização" (ABNT, 2007, p. 1), servindo como um guia prático para auxiliar o
desenvolvimento de procedimentos de segurança da informação dentro de qualquer
organização, contribuindo para a confiança nas atividades da organização. É subdividida em

28. 28
11 seções de controle de segurança da informação que serão explicitadas individualmente nos
próximos subcapítulos, na ordem em que são apresentados na norma.
1.7.1 Política de segurança da informação
A política de segurança é um documento formal, elaborado pelos especialistas em segurança
da informação e com o total apoio das lideranças e define as diretrizes quanto ao uso das
informações e recursos no ambiente coorporativo. Segundo Moraes (2010), algumas das
diretrizes são: riscos ao patrimônio, risco de roubo e fraude, acesso aos sistemas, utilização
dos meios de comunicação, redundância e falhas e garantia e integridade. A política de
segurança estabelece claramente o que deve ser protegido, atribuir responsabilidades para o
cumprimento das normas e serve como principal referência para o gerenciamento da
segurança da informação.
A política de segurança deve ser constantemente atualizada e adaptada a cultura da
organização, escrita de forma clara e disponível para todos os colaboradores.
Nakamura e Geus (2007) conceituam que a política de segurança deve ser composta de alguns
elementos essenciais, dentre eles: vigilância, atitude, estratégia e tecnologia, além de definir
política para senhas, firewall e acesso remoto.
1.7.2 Organizando a segurança da informação
Este tópico orienta como gerir a segurança da informação dentro de uma organização e,
segundo ABNT (2005), sugere alguns pontos importantes como:
a) a instauração de uma estrutura de gerenciamento para controlar as implementações de
segurança da informação;
b) o envolvimento da direção da empresa, aprovando as políticas, atribuindo funções,
fornecendo recursos, coordenando e analisando as implementações da segurança da
informação;
c) a contratação, quando necessário, de consultoria externa especializada em segurança
da informação para manter atualizada as estruturas de acordo com as tendências do
mercado e fornecer apoio na ocorrência de incidentes de segurança da informação;
d) a coordenação da segurança da informação por representantes de diversas áreas da
organização nos diversos níveis hierárquicos;

29. 29
e) definição de todas as responsabilidades pela segurança da informação e autorização
para os novos recursos de processamento de informação;
f) identificação de riscos com as partes externas, clientes e terceiros.
No geral este item verifica como estão sendo organizadas, controladas e coordenadas as
práticas de segurança da informação e se a diretoria está realmente envolvida em todos
esses processos.
1.7.3 Gestão de ativos
Segundo ABNT (2005), esta seção sugere que os ativos de informação da empresa recebam
proteção adequada, podendo ser feita classificação, registro e controle desses ativos. Todos
esses ativos devem ser inventariados e possuir um responsável por garantir a proteção, guarda
e manutenção desse bem.
1.7.4 Segurança em recursos humanos
O principal objetivo deste tópico é "assegurar que os funcionários, fornecedores e terceiros
entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de
furto ou roubo, fraude ou mau uso dos recursos" (ABNT, 2005, p. 24), ou seja, garantir a
ciência e responsabilidade de forma registrada, desde a contratação até a demissão, que
funcionários e terceiros têm da importância do uso correto e seguro dos sistemas de
informação.
1.7.5 Segurança física e do ambiente
Os conceitos dessa seção têm o objetivo de prevenir o acesso não autorizado e danos as
instalações e informações da organização. Segundo a ABNT (2005), as instalações onde são
processadas e armazenadas as informações devem ser mantidas em áreas seguras com
controle de acesso apropriado e seguras de ameaças inerentes do meio ambiente, desastres
naturais e incêndios. Também orienta quanto ao envio de equipamentos para manutenção em
ambientes externos.

30. 30
1.7.6 Gerenciamento das operações e comunicação
Segundo a ABNT (2005), esta seção visa garantir a operação segura e correta dos recursos de
processamento da informação, documentando e definindo os procedimentos e
responsabilidades pela gestão e operação destes recursos. Visa manter segurança da
informação e entrega de serviços em casos de serviços com terceiros, monitorando e
acompanhando mudanças.
Uma parte muito importante abordada nessa seção são orientações para minimizar o risco de
falhas dos sistemas, implementações de controles contra códigos maliciosos, efetuar cópias de
seguranças, segurança em redes, manuseio e descarte de mídias, orientações para troca de
informações, uso de correio eletrônico, comércio eletrônico, monitoramento e auditoria.
1.7.7 Controle de acessos
Esse tópico visa orientar na elaboração de políticas, requisitos, gerenciamento, privilégios,
senhas e direitos para controle de acesso dos usuários aos sistemas de informação, rede,
sistemas operacionais, aplicações e sistemas remotos, garantindo que os usuários tenham o
direito de acesso aos sistemas, recursos e informações necessários a realização de suas
atividades, bem como garantir que não ocorra acesso indevido as informações críticas e
restritas por pessoas não autorizadas.
1.7.8 Aquisição, desenvolvimento e manutenção de sistemas de informação
Esse tópico fornece uma visão de como a segurança deve ser implantada em todos os
ambientes que envolvem os sistemas de informação. Especificam os requisitos de segurança,
processamento correto nas aplicações para prevenir erros, perdas e mau uso, estabelece
políticas para controles criptográficos e gerenciamento de chaves, garante a segurança nos
arquivos de sistemas e código fonte de programas, orienta o gerenciamento de modificações e
vazamento de informações. Enfatiza quanto à supervisão e acompanhamento de
desenvolvimento de software por terceiros garantindo a qualidade e exatidão do serviço
realizado bem como a funcionalidade da segurança do código, aplicando testes antes da
instalação dos sistemas para garantir a ausência de código malicioso.

31. 31
1.7.9 Gestão de incidentes de segurança da informação
Essa seção trata de como agir em caso de ocorrência de incidentes de segurança da
informação, formalizando os meios de notificação de incidentes bem como gerir essas
ocorrências, para que as providências sejam tomadas de forma mais breve possível e que as
evidências sejam preservadas para uma futura investigação do evento ocorrido.
A ABNT (2007) cita alguns exemplos de incidentes de segurança da informação, como:
a) perda de serviço, equipamento ou recurso;
b) mau funcionamento ou sobrecarga do sistema;
c) erros humanos;
d) não conformidade com políticas ou diretrizes;
e) mudanças descontroladas de sistemas;
f) mau funcionamento de software ou hardware;
g) violação de acesso.
Um procedimento importante sugerido nessa seção é a padronização de um formulário, para
orientar e facilitar a comunicação desses incidentes pelos usuários aos responsáveis pela
gestão da segurança da informação.
1.7.10 Gestão da continuidade do negócio
Essa seção, segundo a ABNT (2005), expõe os aspectos da gestão da continuidade do negócio
relativos à segurança da informação, com o objetivo de evitar a interrupção das atividades do
negócio, proteger os processos críticos contra falhas e assegurar o seu reestabelecimento em
tempo hábil. Para uma boa gestão de continuidade do negócio é necessário identificar os
riscos, efetuar testes e manutenções e criar planos para gerir as potenciais pausas nas
atividades essenciais do negócio que envolva os sistemas de informação.
1.7.11 Conformidade
O objetivo desta seção é evitar violações de quaisquer obrigações legais visando garantir que
o projeto, a operação, o uso e a gestão de sistemas de informação estejam em conformidade
com os requisitos contratuais e leis regulamentadoras (ABNT, 2005). É recomendada a
identificação da legislação aplicável, dos direitos de propriedade intelectual, a proteção de

32. 32
registros organizacionais e garantir a privacidade de informações pessoais. Convém garantir a
conformidade com as políticas e normas da segurança da informação, efetuando controle de
auditoria para verificar se as implementações estão de acordo com as normas técnicas.

33. 33
CAPÍTULO 2 MATERIAIS E MÉTODOS
2.1 Descrições do ambiente de pesquisa
O ambiente escolhido para ilustrar a implementação de segurança em redes de computadores
foi Distrito de Serviços do Gorutuba (DTGA), que é uma unidade administrativa da
Companhia de Saneamento de Minas Gerais (COPASA) no município de Janaúba.
A utilização dos recursos computacionais da empresa é regida por uma norma de
procedimentos, denominada NP 2011-005/0, que aborda as políticas de segurança da
informação. Essa norma está disponível a todos os funcionários através da intranet,
juntamente com as demais normas de procedimentos da empresa. Foi desenvolvida em 2011
com o pleno apoio da administração da empresa e define as competências das unidades
responsáveis pela gestão da estrutura de rede e das demais unidades da COPASA que a
utilizam, a criação de uma Comissão de Segurança da Informação e critérios gerais para
utilização dos recursos de informática, segurança da informação e controle de acesso e
tratamento de informações do ambiente web.
A rede de computadores do DTGA é composta dos equipamentos descritos na relação abaixo,
e são organizados conforme a Fig. 8:
40 (quarenta) Computadores com sistemas operacionais Windows XP ou Windows 7;
01 (um) Servidor de arquivos Itautec com processador Intel Inside Xeon;
01 (um) Roteador Cisco modelo CDA 2501;
01 (um) Switch 3Com 28 portas;
01 (um) Modem HDSL New Bridge modelo MainStreet 2821;
01 (um) Switch 3Com 26 portas modelo SuperStack 3 3C17300A 4020;
01 (um) Switch 3Com 28 portas modelo SuperStack 3C17301 4228G.

34. 34
FIGURA 8 - Arquitetura da rede de computadores do DTGA
Fonte: Autoria própria
Como mostrado na Fig. 8, são apresentados na Fig. 9 a imagem do servidor de arquivos local
e o nobreak e na Fig. 10 são apresentados os equipamentos da rede do DTGA.
FIGURA 9 - Servidor de arquivos local do DTGA e nobreak
Fonte: Autoria própria

35. 35
FIGURA 10 – Equipamentos de rede (modem, roteador, switch e patch panel)
Fonte: Autoria própria
Os usuários da empresa utilizam a rede para compartilhar arquivos e impressores, acesso à
intranet, utilização de software de gestão, acesso à internet (somente alguns computadores
possuem acesso à internet) e webmail. O software sistema de gestão (ERP SAP) é instalado
em todas as máquinas na forma de terminal cliente, sendo todo o processamento feito em um
servidor central na matriz, em Belo Horizonte. Porém não entraremos em detalhes para não
fugir do campo de abrangência desta pesquisa.
Para acesso às máquinas, segundo a Companhia de Saneamento de Minas Gerais (COPASA,
2011), conforme é descrito na NP 2011-005/0, os usuários necessitam de autenticação na
forma de login e senha. Os usuários não possuem permissão para alterar configurações nem
instalar softwares nas máquinas, demandas desse tipo são feitas pelos administradores de rede
das unidades de gestão.
As cópias de segurança (backup) do servidor de arquivos são feitas remotamente para os
servidores em Belo Horizonte e possuem frequência de operação diária.
Todas as máquinas possuem antivírus MacAfee instalado e, com os sistemas e softwares com
programação de atualização automática.
A empresa mantém um serviço de Help Desk, composta de uma equipe treinada e capacitada
para solucionar a maioria dos problemas que os usuários possam ter com o ambiente de
informática, sendo a maior parte dos problemas solucionados por acesso remoto em tempo
hábil. Essa estratégia visa reduzir o período de ociosidade que os equipamentos e usuários
possam ter com a falha de algum serviço ou equipamento.

36. 36
Não há acesso por meio de tecnologia sem fio a rede do DTGA.
2.2 Metodologias da pesquisa
A natureza da pesquisa é definida como qualitativa, por ter característica observacional e
compreender os acontecimentos que envolvem a pesquisa.
A finalidade da pesquisa é caracterizada como básica, por estar ligada ao incremento do
conhecimento cientifico, sem quaisquer objetivos comerciais.
O tipo de pesquisa possui natureza descritiva, por ter como objetivo descrever como são
implementadas as soluções de segurança de rede e enquadramento quanto a normas técnicas
no ambiente pesquisado.
A estratégia de pesquisa em relação ao local de coleta de dados se caracteriza como pesquisa
de laboratório, onde os dados serão coletados e monitorados a fim de observar seu
comportamento em um ambiente controlado. Quanto à fonte de informação, teremos as duas
características: em campo, por necessitar consultar alguns especialistas da área, analistas de
Tecnologia da Informação (TI) da COPASA, bem como professores que possuem
conhecimento sobre o assunto e bibliográfica por ser necessária a consulta de livros, revistas,
periódicos, normas técnicas, normas de procedimentos internos da empresa e internet para
obter mais informações sobre o tema.
Como o ambiente analisado não permite um envolvimento mais profundo, como inserir
máquinas particulares nem instalar softwares nas máquinas da rede, devido a restrições das
políticas de segurança da empresa, será necessário a aplicação de formulários e realizar
entrevistas com os Analistas de TI da COPASA a fim de conhecer, familiarizar, descrever e
simular o ambiente operacional de rede da empresa pesquisada para se chegar o mais próximo
possível da realidade implementada. Com as informações levantadas, será possível verificar o
nível de segurança implantado no ambiente de pesquisa de acordo as normas técnicas e
sugerir melhorias para adequação a tais normas.
2.3 Aplicação de formulário para levantamento de informações
Para descobrir mais sobre as implementações de segurança da informação no ambiente de
rede do DTGA, foi aplicado um formulário, anexo a essa pesquisa como apêndice. Esse
formulário foi uma adaptação do formulário aplicado pelo Rosemann (2002) na sua

37. 37
monografia intitulada "Software para avaliação da segurança da informação de uma empresa
conforme a norma NBR ISO/IEC 17799" na qual cria um modelo de software na qual é
possível avaliar e quantificar a análise de segurança da informação segundo a norma citada.
O formulário aplicado é composto de 75 questões, divididas em 11 seções conforme a norma
NBR ISO/IEC 27002, e suas respostas são expostas na forma dicotômica, podendo ser
respondidas em SIM, caso o questionamento se aplica na empresa, ou NÃO caso contrário.
Para obtenção dos resultados serão analisadas as respostas geradas em cada seção em um todo
com o objetivo de verificar a conformidade do ambiente analisado com a norma NBR
ISO/IEC 27002.
2.4 Análise dos elementos essenciais de segurança da informação
No DTGA, foi observado, que para garantir a integridade das informações, é utilizado o
método de controle de segurança que, segundo Moraes (2012), é conhecido como Need to
Know, em que concede aos usuários permissão de acesso somente aos recursos que são
necessários para utilização dos trabalhos, visando garantir a integridade das informações.
Somente algumas máquinas possuem acesso liberado à internet, sendo que alguns sites que
não tem finalidade compatível com as atividades da empresa são bloqueados pelo servidor
proxy.
Para garantir a confidencialidade, são utilizados para acessar a rede, a identificação do usuário
que, conforme citado anteriormente, é composta de login e senha. O login corresponde a
matrícula de registro do funcionário composta de cinco números. A senha deve possuir pelo
menos oito caracteres e ser composta de números, letras e caracteres especiais (pelo menos
um caractere de cada tipo), sendo expirada automaticamente após 3 meses, devendo ser
redefinida após essa prazo. Também são utilizados softwares antivírus em cada máquina, com
atualizações constantes, para evitar o furto de informações confidenciais para entidades
externas ao sistema. A arquitetura da rede também foi projetada visando dar mais segurança
contra invasão, sendo a comunicação com o ambiente externo filtrada por firewalls e há a
filtragem de pacotes de rede pelo servidor proxy nas comunicações com a internet.
A principal causa de falta de disponibilidades da rede identificada é a falta de energia elétrica,
que ocorre muito raramente e por tempo considerado curto, e que não sobrecarrega as
atividades da empresa, sendo, portanto, não necessário o investimento em equipamentos que
minimizem a situação, como geradores de energia. São utilizados equipamentos NoBreaks

38. 38
para garantir que os servidores serão encerrados corretamente ou aguardar o restabelecimento
da energia elétrica. A rotina de backups realizada no servidor de arquivos também contribui
para a disponibilidade das informações, sendo restaurados os dados imediatamente sempre
que há alguma falha no servidor de arquivos. A equipe de Help Desk também é uma
importante estratégia utilizada para restabelecer os recursos em caso de falhas.
Na Copasa, os logs de todas as unidades são armazenados na Matriz da empresa pelo servidor
de proxy, mas somente são analisados sob demanda ou denúncia de uso inadequado pelos
usuários, são sendo gerados alertas de tentativas de burlar as restrições.

39. 39
CAPÍTULO 3 RESULTADOS
Para ilustrar os resultados obtidos, foram gerados gráficos com a porcentagem de questões em
que foram respondidas afirmativamente e negativamente, em relação ao total de questões
aplicadas relativas a cada seção do formulário aplicado.
P 120
o
100 100 100 100 100
r 100 92
c 86 83
e 80
80 75
n 67
t
a 60
g
e 40 33
m 25
20
20 14 17
Sim
8
0 0 0 0 0 Não
0
GRÁFICO 3 - Resultados obtidos por seção da norma
Fonte: Autoria própria
No Graf. 3 foram mostrados os resultados obtidos individualmente em todas as seções
abordadas no formulário aplicado. O objetivo de se mostrar resultados divididos em seções é
facilitar a identificação das deficiências encontradas nessa análise. Os resultados foram
obtidos de acordo com as respostas do responsável pela segurança da informação na empresa,
na Divisão de Telecomunicações (DVTL), foi aplicado somente a este por entender todos os
processos que envolvem segurança da informação, e pelo formulário conter alguns conteúdos
técnicos que o usuário comum não teria condições de responder com clareza e objetividade.

40. 40
Para ilustrar o resultado de uma forma geral, foi gerado o Graf. 4 mostrado logo abaixo, na
qual são utilizados como parâmetros os resultados obtidos em todas as seções no Graf. 3 e
retirada uma média aritmética.
Resultado Geral
18%
Sim
Não
82%
GRÁFICO 4 - Resultado geral da análise do formulário
Fonte: Autoria própria
O Graf. 4 ilustra a obtenção de 82% de conformidade com a norma NBR ISO/IEC 27002 e
18% de não conformidade.

41. 41
CAPÍTULO 4 ANÁLISE E DISCURSÃO DOS RESULTADOS
Com a análise dos gráficos, verifica-se na Seção 1 - Política de segurança da informação, a
obtenção de 100% de adequação do ambiente analisado em relação à norma. Como
justificativa para o resultado obtido, verificou-se que a empresa possui um documento
aprovado pela direção, em que são descritas as políticas de segurança da informação. Esse
documento serve de guia para definir os responsáveis pela implantação da segurança da
informação nos diversos setores da empresa, bem como as instruções que deverão ser
seguidas pelos usuários para obterem acesso à rede de computadores e como utiliza-la da
forma segura. Existe uma comissão interna, denominada Comissão de Segurança da
Informação, responsável por analisar e aprovar as propostas de revisão das políticas de
segurança, com o objetivo de adequá-la aos interesses da empresa com as boas práticas do
mercado. Essa comissão é composta pelos gerentes de todas as áreas responsáveis pela
segurança da informação, juntamente com o gerente do setor de auditoria e se reúnem
semestralmente ou extraordinariamente quando necessário.
Na Seção 2 - Organizando a segurança da informação, obteve-se cerca de 86% de adequação
à norma, sendo justificado, também, pela existência da Comissão de Segurança da Informação
que coordena as implementações de controles de segurança da informação e analisa
criticamente as políticas de segurança da informação. Os riscos de segurança com prestadores
de serviço são identificados e controlados e são definidos no contrato os requisitos de
segurança da informação, sendo definido pelo controle de acesso, apenas, as funcionalidades
necessárias para a realização de serviços terceiros. Um fato negativo encontrado nessa seção é
o fato de a empresa nunca obter uma consultoria especializada em segurança da informação,
talvez pelo fato de não se ter registros de ataque ou incidentes de segurança informação no
ambiente de rede da empresa.
Na Seção 3 – Gestão de ativos foi obtida 100% de conformidade com a norma, sendo
justificado pelo fato de a empresa manter um rígido controle patrimonial, inclusive com os
ativos importantes de segurança da informação, no qual é feito um inventário com os bens sob
responsabilidade de cada funcionário. Esse controle garante que nenhum bem patrimonial da
empresa seja transferido de local ou responsável sem que seja preenchido um formulário
específico de transferência de bens, definindo a origem e o destino desse bem.
Semestralmente são feitas pela unidade responsável pelo controle de bens patrimoniais as
conferências dos inventários de cada funcionário, garantindo a integridade de cada bem
patrimonial da empresa.

42. 42
Na Seção 4 – Segurança em pessoas foi encontrado um baixo nível de conformidade, sendo
obtido somente 25% de adequação. Esse resultado se justifica pela falta de investimento da
empresa no treinamento e conscientização dos funcionários em como seguir as diretrizes de
segurança e formalizar meios para que os mesmos possam notificar as ocorrências de
incidentes de segurança. Em contrapartida, existe um canal de comunicação denominado Help
Desk, no qual os funcionários podem reportar incidentes de segurança à direção da empresa.
Existem também normas disciplinares com o objetivo de dissuadir os funcionários que
desrespeitem as normas impostas nas políticas de segurança.
Na Seção 5 – Segurança física e do ambiente, o resultado obtido foi de 80% de conformidade
com a norma, sendo os fatores importantes para a obtenção desse resultado a implementação
de medidas de segurança para acesso as instalações da empresa, como entrada registrada por
cartão magnético, funcionários recepcionistas. São utilizados equipamentos Nobreaks para
evitar que possíveis quedas de energia elétrica danifiquem os equipamentos ou corrompam
arquivos em processamento. Destaca-se que as manutenções dos equipamentos de informática
são feitos somente por pessoal autorizado, a solicitação de manutenção dos equipamentos são
registrados por meio do canal Help Desk e em caso de impossibilidade de a manutenção dos
equipamentos serem feitas na própria unidade, os equipamentos danificados são enviados para
a matriz para as devidas providências, transportada somente por funcionários da empresa, sem
contato com terceiros, sendo vetada a remoção de equipamentos sem adequada autorização.
Existem métodos de bloqueio automático de tela assim que os computadores ficam ociosos
por mais de 10 minutos, visando evitar que pessoas não autorizadas tenham acesso à rede de
computadores. Conforme comentado na discussão dos resultados da Seção 3, são feitas
inspeções regulares para controle patrimonial e os funcionários então cientes que o controle
está sendo acompanhado. Os fatores que impactaram negativamente no resultado na Seção 5
foi a falta de instalação adequada dos equipamentos de processamento da rede, como
servidores e roteadores, a ausência de trancas para acesso a esses equipamentos e a exposição
dos cabeamentos de rede.
Na Seção 6 – Gerenciamento das operações e comunicação, os questionamentos foram
respondidos na sua totalidade de forma afirmativa, sendo destacado o empenho da empresa
em garantir a disponibilidade dos dados, como rotinas de backup bem definidas e
documentadas, controle dos softwares instalados nas máquinas, uso de softwares licenciados e
antivírus nas máquinas, verificação do tráfego de dados com a rede externa por meio de
antivírus de gateway, utilização de VPN na comunição entre a rede do DTGA e o backbone
da empresa. As rotinas de backup são realizadas remotamente e são armazenadas em local

43. 43
seguro na matriz. Os funcionários são orientados a utilizarem o correio eletrônico somente
para atividades relacionadas com o negócio da empresa.
Na Seção 7 – Controle de acesso, obteve-se o resultado de quase 92%, destacando-se a
eficiência nos procedimentos adotados para o controle de acesso a rede. As regras para o
controle de acesso estão documentadas na política de segurança e a concessão de privilégios
de acesso somente são concedidos após análise das necessidades dos usuários. Recentemente,
foi disponibilizado um guia para orientar os usuários na escolha de senhas e foram definidos
novos procedimentos para composição de senha como tamanho mínimo de oito caracteres,
obrigatoriamente composta de pelo menos um numeral, letra e caractere especial e deverá ser
alterada após um período de três meses, sendo vetada a reutilização das últimas três senhas. O
login de identificação é individual e representa a matrícula de cada funcionário. O horário das
máquinas é sincronizado pela rede e os usuários comuns não possuem autorização de acesso a
alteração dessa propriedade.
Na Seção 8 – Desenvolvimento e manutenção de sistemas foram aplicados somente duas
questões, devido a não identificação desta seção com as atividades desenvolvidas pela
empresa. Apesar disso, obteve-se 100% de adequação devido a utilização de softwares
antivírus nas máquinas, antivírus de gateway na interface de comunicação com a rede externa
e atualização constantes dos softwares e sistemas visando garantir a não ocorrência de falhas e
introdução de Cavalos de Troia.
Na Seção 9 – Gestão de incidentes de segurança da informação o resultado obtido foi de 33%,
sendo novamente os fatores determinantes desse resultado a falta de comunicação da empresa
com os usuários da rede quando o assunto é segurança da informação. Apesar da preocupação
de se notificar a direção da empresa em caso de ocorrência de incidentes de segurança da
informação, não existe o alerta para que os funcionários notifiquem eventos de segurança da
informação nem algum formulário que apoie estes em caso de incidentes.
Na Seção 10 – Gestão da continuidade do negócio obteve-se o resultado de 100% pelo fato de
a empresa identificar as possíveis causas de interrupções nos sistemas que influem
diretamente no negócio e tomar medidas que garantem a continuidade do negócio como uso
de instalação de extintores de incêndio, utilização de equipamentos no-breaks e rotinas de
backup.
Na Seção 11 – Conformidade obteve-se 83% de conformidade com a norma. Foi identificada
que a empresa possui políticas que asseguram a aquisição e instalação de software com
licença de utilização, sendo sempre respeitada as leis de direitos autorais e patentes, e vetada a
cópia por pessoal não autorizado. São sempre armazenadas em arquivo físico os registros

44. 44
importantes da empresa, é vetado o uso de recursos de processamento para finalidade que não
seja compatível com a natureza das atividades da empresa, bem como usos particulares e as
máquinas possuem mensagens na tela de logon, informando que é um sistema restrito
somente aos usuários com acesso a rede. O fator negativo identificado nessa seção foi a falta
de procedimentos de auditoria visando minimizar o risco de interrupção dos processos do
negócio.
No geral, foi obtido o resultado de 82% de adequação com as práticas abordadas na norma
NBR ISO/IEC 27002/2005, sendo considerado um ótimo resultado, onde observou-se que a
empresa mantém boas implementações físicas e lógicas no âmbito da segurança da
informação, mas peca em treinar, instruir e conscientizar os funcionários para o uso correto da
infraestrutura da empresa, bem como não possui meios facilitados para que os funcionários
possam notificar incidentes de segurança nem facilita o acesso a política de segurança da
informação.

45. 45
CONSIDERAÇÕES FINAIS
A segurança da informação é um dos principais fatores para o bom funcionamento de
sistemas informatizados e a sua boa gestão traz excelentes resultados para a continuidade dos
negócios de qualquer organização, trazendo confiança nos serviços oferecidos e reduzindo
perdas com a indisponibilidade de recursos e roubos de informações, sendo esses os itens
principais que garantam a importância dessa pesquisa e o que a torna totalmente aplicável em
qualquer organização que utilize sistemas informatizados na execução das suas atividades.
Analisando os resultados obtidos, avalia-se a estrutura de redes do ambiente analisado como
um ambiente seguro, com pouca visada de ataques, poucos incidentes de contaminação por
vírus, sem registros de ataques externos e raríssimos registros de indisponibilidade dos
recursos.
São identificados poucos incidentes de indisponibilidade da rede, sendo os meios utilizados
para controlar e restabelecer a comunicação considerada eficiente para este tipo de ambiente e
atividades desenvolvidas.
O resultado obtido de 82% de conformidade com a norma verifica as boas implementações da
empresa com as práticas sugeridas, contribuindo assim para um ambiente informatizado mais
seguro, tendo se em vista que o ambiente analisado tem poucos registros de tentativas de
ataques, poucos incidentes de contaminação por vírus, sem registros de ataques externos,
raríssimos registros de indisponibilidade dos recursos, apesar de não existir no mundo um
ambiente informatizado 100% seguro e imune a ataques.
Serão sugeridas melhorias nos itens identificados, principalmente em segurança em pessoas e
gestão de incidentes de segurança da informação por apresentarem baixos índices de
conformidade e com resultados abaixo da média em relação aos demais, mesmo assim
considerado de igual importância pela norma ISO/IEC 27002. A segurança em pessoas é
fundamental para toda a gestão de segurança da informação, pois são pessoas que utilizam os
sistemas informatizados e os principais incidentes são ocasionados pela falta de orientação ou
mau uso por parte dos usuários.
Os objetivos da pesquisa foram atingidos já que se conseguiu identificar os principais
métodos sugeridos pela norma, com resultados satisfatórios, e foram apontados itens para
melhoria das práticas visando o aumento e controle da segurança da informação.
Como pesquisas futuras, podem ser feitos estudos para propor melhorias no desempenho da
comunicação da rede de computadores do DTGA e outras unidades semelhantes, bem como
aplicar uma pesquisa investigativa, como forense computacional, visando identificar possíveis

46. 46
incidentes de segurança da informação que venham a acontecer, e estudar meios de como
trata-los e, se possível, evitar futuros incidentes.

47. 47
REFERÊNCIAS
ALBUQUERQUE, Fernando. TCP/IP Internet: Protocolos & Tecnologia. Rio de Janeiro:
Alta Books, 2001. 3. ed.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:
Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da
segurança da informação. Rio de Janeiro: ABNT, 2005. 120 p.
COMPANHIA DE SANEAMENTO DE MINAS GERAIS. NP 2011-005/0: Utilização de
recursos computacionais, segurança e tratamento de informações. Belo Horizonte, 2011. 16
p.
MELO, Sandro. Computação Forense com software livre: conceitos, técnicas, ferramentas
e estudos de casos. Rio de Janeiro: Alta Books, 2009.
MORAES, Alexandre Fernandes de. Segurança em redes: Fundamentos. São Paulo: Editora
Érica, 2010.
NAKAMURA, Emilio Tissato; GEUS, Paulo Lício de. Segurança de redes em ambientes
cooperativos. São Paulo: Novatec, 2007.
PFAFFENBBERGER, Bryan. Estratégias de extranet. São Paulo: Berkeley Brasil, 1998.
PINHEIRO, José Maurício Santos. Programas de Segurança para Redes Corporativas.
Disponível em:
http://www.projetoderedes.com.br/artigos/artigo_programas_de_seguranca_para_redes_corpo
rativas.php. Acesso em: 19 abr. 2012.
ROSEMANN, Douglas. SOFTWARE PARA AVALIAÇÃO DA SEGURANÇA DA
INFORMAÇÃO DE UMA EMPRESA CONFORME A NORMA NBR ISO/IEC 17799.
2002. 102 f. Monografia (Graduação em Ciências da Computação) – Centro de Ciências
Exata e Naturais, Universidade Regional de Blumenau, Blumenau, 2002.
STALLINGS, Willian. Redes e sistemas de comunicação de dados. 5 ed. Rio de Janeiro:
Elsevier, 2005.
TANENBAUM, Andrew S. Redes de Computadores. 4 ed. Rio de Janeiro: Editora Campus,
2003.

48. 48
TORRES, Gabriel. Redes de Computadores: Curso Completo. Rio de Janeiro: Editora Axcel
Books do Brasil, 2001.
VALLE, James Della, ULBRICH, Henrique César. Universidade Hacker: Desvende todos
os segredos do submundo dos hackers. 6 ed. São Paulo: Digerati Books, 2009.

49. 49
APÊNDICE A – FORMULÁRIO DE VERIFICAÇÃO DE ADEQUAÇÃO A NBR
ISO/IEC 27002:2005
Questão de auditoria S N
1 Política de segurança da informação
1.1 Se existe alguma política de segurança da informação, que
seja aprovado pela direção, publicado e comunicado, de
forma adequada, para todos os funcionários.
1.2 Se esta expressa as preocupações da direção e estabelece as
linhas-mestras para a gestão da segurança da informação.
1.3 Se a política de segurança tem um gestor que seja
responsável por sua manutenção e análise crítica, de acordo
com um processo de análise crítica definido.
1.4 Se o processo garante que a análise crítica ocorra como
decorrência de qualquer mudança que venha afetar a
avaliação de risco original. Exemplo: Incidentes de segurança
significativos, novas vulnerabilidades ou mudanças
organizacionais ou na infra-estrutura técnica.
2 Organizando a segurança da informação
2.1 Se existe um fórum multifuncional com representantes da
direção de áreas relevantes da organização para coordenar a
implementação de controles de segurança da informação.
2.2 Se as responsabilidades pela proteção de cada ativo e pelo
cumprimento de processos de segurança específicos sejam
claramente definidos.
2.3 Se foi implantado um processo de gestão de autorização para
novos recursos de processamento da informação. Isto deve
incluir todos os novos recursos, como hardware e software.
2.4 Se uma consultoria especializada em segurança da
informação é obtida quando apropriado.
Um indivíduo específico deve ser identificado para coordenar
conhecimentos e experiências dentro da organização para
assegurar consistência, e prover ajuda na decisão de
segurança.
2.5 Se a implementação da política de segurança é analisada
criticamente, de forma independente. Isto é para fornecer
garantia de que as práticas da organização refletem
apropriadamente a política, e que esta é adequada e eficiente.
2.6 Se os riscos de segurança com prestadores de serviço
trabalhando no ambiente da empresa foram identificados e
controles apropriados são identificados.
2.7 Se os requisitos de segurança são definidos no contrato com
prestadores de serviços, quando a organização tiver
terceirizado o gerenciamento e controle de todos ou alguns
dos sistemas de informação, redes e/ ou estações de trabalho.
3 Gestão de ativos
3.1 Se um inventário ou registro é mantido com os ativos
importantes relacionados com cada sistema de informação.
3.2 Se cada ativo identificado possui um gestor, se foi definido e
acordado na classificação de segurança, e se sua localização
foi definida.

50. 50
4 Segurança em pessoas
4.1 Se regras e responsabilidades de segurança são documentadas
onde for apropriado, de acordo com a política de segurança
da informação da organização.
4.2 Se os funcionários são questionados a assinarem acordos de
confidencialidade ou não divulgação como parte dos termos e
condições iniciais de contratação.
4.3 Se os termos e condições de trabalho determinam as
responsabilidades dos funcionários pela segurança da
informação. Quando apropriado, estas responsabilidades
devem continuar por um período de tempo definido, após o
término do contrato de trabalho.
4.4 Se todos os funcionários da organização e, onde for relevante,
prestadores de serviços recebem treinamento apropriado e
atualizações regulares sobre as políticas e procedimentos
organizacionais.
4.5 Se existe um procedimento ou diretriz formal para reportar
incidentes de segurança através dos canais apropriados da
direção, o mais rapidamente possível.
4.6 Se existe um procedimento ou diretriz formal para que os
usuários sejam instruídos a registrar e notificar quaisquer
fragilidades ou ameaças, ocorridas ou suspeitas, na segurança
de sistemas ou serviços.
4.7 Se foram estabelecidos procedimentos para notificar qualquer
mau funcionamento de software.
4.8 Se existe um processo disciplinar formal para os funcionários
que tenham violado as políticas e procedimentos de
segurança organizacional. Tal processo pode dissuadir
funcionários que, de outra forma, seriam inclinados a
desrespeitar os procedimentos de segurança.
5 Segurança física e do ambiente
5.1 Se barreiras físicas, como recursos de segurança, foram
implementadas para proteger o serviço de processamento da
informação.
Alguns exemplos de tais recursos de segurança são o controle
por cartão do portão de entrada, muros, presença de um
funcionário na recepção, etc.
5.2 Se existem controles de entrada para permitir somente a
entrada do pessoal autorizado dentro de várias áreas da
organização.
5.3 Se as salas, que possuem o serviço de processamento de
informação ou contêm armários fechados ou cofres, são
trancadas.
5.4 Se o equipamento foi instalado em local apropriado para
minimizar acesso não autorizado à área de trabalho.
5.5 Se o equipamento é protegido contra falhas de energia e
outras anomalias na alimentação elétrica., utilizando
fornecimento de energia permanente como alimentação
múltipla, no-break, gerador de reserva, etc.
5.6 Se o cabeamento elétrico e de telecomunicações que
transmite dados ou suporta os serviços de informação é
protegido contra interceptação ou dano.
5.7 Se a manutenção é realizada apenas pelo pessoal autorizado.
5.8 Se são mantidos registros com todas as falhas suspeitas ou
ocorridas e de toda a manutenção corretiva e preventiva.

51. 51
5.9 Se os controles apropriados são utilizados quando do envio
de equipamentos para manutenção fora da instalação física.
5.10 Se um equipamento é autorizado pela direção quando
necessitar ser utilizado fora das instalações da organização.
5.11 Se um serviço de bloqueio automático de tela de computador
está ativo. Isso irá travar o computador sempre que for
5.12 deixado ocioso por um determinadodeixar qualquer material
Se os empregados são avisados para tempo.
confidencial de forma segura e trancada.
5.13 Se é vetada a remoção de equipamentos, informações ou
software sem adequada autorização.
5.14 Se inspeções regulares são realizadas para detectar remoção
de propriedade não autorizada.
5.15 Se as pessoas estão cientes que estas inspeções regulares
estão realizadas.
6 Gerenciamento das operações e comunicações
6.1 Se uma política de segurança identifica qualquer
procedimento operacional como backup, manutenção de
equipamentos, etc.
6.2 Se estes procedimentos estão documentados e são utilizados.
6.3 Se todos os programas executados no sistema de produção
são submetidos ao controle estrito de mudanças. Qualquer
mudança nesses programas de produção deve ser autorizada
pelo controle de mudanças.
6.4 Se existe algum controle contra o uso de software malicioso.
6.5 Se a política de segurança define características de
licenciamento de software como proibição do uso de software
não autorizado.
6.6 Se um software antivírus está instalado nos computadores
para verificar e isolar ou remover qualquer vírus do
computador ou mídia.
6.7 Se a assinatura deste software está atualizada em uma base
regular para verificar por últimas versões de vírus.
6.8 Se todo o tráfego originado de uma rede insegura para a
organização é verificado por vírus.
Exemplo: Verificar vírus no e-mail, anexos de e-mail , web,
tráfego FTP.
6.9 Se cópias de segurança de informações essenciais aos
negócios como servidor de produção, componentes críticos
de rede, configuração, etc, são realizadas regularmente.
Exemplo:
Segunda-Quinta: Cópia incremental.
Sexta: Cópia completa.
6.10 Se a mídia que contém a cópia de segurança e o
procedimento para restaurar tal cópia são armazenados
seguramente e bem longe do local onde foram realizadas.
6.11 Se existe algum controle especial para assegurar
confidencialidade e integridade do processamento de dados
em uma rede pública e para proteger sistemas conectados.
Exemplo: Redes privadas virtuais (VPN), outros mecanismos
de encriptação e hashing, etc.
6.12 Se a documentação do sistema é protegida contra acesso não
autorizado.
6.13 Se a lista de acesso para a documentação do sistema é
mantida mínima e autorizada pelo dono da aplicação.
Exemplo: Documentação do sistema necessita ser mantida
em um drive compartilhado para fins específicos. A
documentação necessita ter listas de controle de acessos ativa
(para ser acessada somente por usuários limitados).

52. 52
6.14 Se existe uma política ativa para o uso de correio eletrônico
ou política de segurança que define características em relação
ao uso do correio eletrônico.
6.15 Se controles como verificação de antivírus, isolação de
anexos potencialmente inseguros, controle de spam, anti
relaying, etc, estão ativos para reduzir os riscos criados pelo
correio eletrônico.
7 Controle de acesso
7.1 Se os requisitos do negócio para controle de acesso foram
definidos e documentados.
7.2 Se a política de controle de acesso define as regras e direitos
para cada usuário ou um grupo de usuários.
7.3 Se a concessão e o uso de quaisquer privilégios de um
sistema de informação multiusuário é restrito e controlado,
por exemplo, se privilégios são concedidos pela necessidade
do usuário, e somente depois de um processo de autorização
formal.
7.4 Se os usuários são solicitados a assinar uma declaração a fim
de manter a confidencialidade de sua senha pessoal.
A concessão e alteração de senhas devem ser controladas por
um processo de gerenciamento formal.
7.5 Se existe alguma diretriz para guiar usuários na escolha e
manutenção segura de senhas.
7.6 Se o acesso ao sistema de informação é realizado através de
um processo seguro de entrada (login) no sistema.
7.7 Convém os usuários (incluindode pessoal de suporte técnico,
Se todos que o procedimento o entrada no sistema de
computador seja projetado para minimizar a oportunidade de
como operadores, administradores de redes, programadores
acessos não autorizados.
de sistema e administradores de rede) tenham um
identificador único.
7.8 As o método de autenticação utilizado somente seridentidade
Se contas genéricas de usuário devem confirma a fornecidas
sobre circunstâncias excepcionais no qual há um benefício de
alegada pelo usuário. Método comumente utilizado: Senhas
negócio claro. Controles adicionais devem ser necessários
somente conhecidas pelos usuários.
para gerenciar as contas.
7.9 Se existe um sistema de gerenciamento de senhas que reforça
vários controles de senhas, como: Senha individual, reforça
alterações de senha, gravar senha de forma criptografada, não
mostrar senhas na tela, etc.
7.10 Terminais inativos em áreas públicas devem ser configurados
para limpar a tela ou desligar automaticamente após um
período predeterminado de inatividade.
7.11 Se o acesso à aplicação por vários grupos ou pessoal dentro
da organização é definido na política de controle de acesso
como requisito de aplicação de negócio individual e é
consistente com a política de acesso a Informação da
organização.
7.12 Se trilhas de auditoria registrando as exceções e outros
eventos de segurança relevantes são produzidas e mantidas
por um período de tempo acordado para auxiliar em
investigações futuras e na monitoração do controle de acesso.
7.13 Se os computadores ou dispositivos de comunicação têm a
capacidade de operar com um relógio em tempo real, ele deve
ser ajustado conforme o padrão adotado, por exemplo, o
tempo coordenado universal (Universal Coordinated time –
UCT) ou um padrão local de tempo.
O estabelecimento correto dos relógios dos computadores é
importante para garantir a exatidão dos registros de auditoria.
8 Desenvolvimento e manutenção de sistemas
8.1 Se foram implantados controles para assegurar que covert
channels e cavalos de Tróia não foram introduzidos em novos
sistemas ou atualizações.
Um covert channel pode expor informações por meios
indiretos e obscuros. Cavalo de Tróia é desenvolvido para
afetar um sistema de forma não autorizada.

53. 53
8.2 A atualização do software operacional, de aplicativos e de
bibliotecas de programas são executadas somente por
administradores treinados e com autorização gerencial?
9 Gestão de incidentes de segurança da informação
9.1 A direção da empresa é notificada quando ocorre algum
evento de segurança da informação?
9.2 Os funcionários e demais usuários dos sistemas são alertados
sobre a sua responsabilidade de notificar qualquer evento de
segurança da informação, de forma ágil?
9.3 Existe algum formulário para apoiar a ação de notificar um
evento de segurança da informação e ajudar as pessoas a
lembrar as ações necessárias para a notificação do evento?
10 Gestão da continuidade do negócio
10.1 Se eventos que podem causar interrupções ao processo de
negócio foram identificados.
Exemplo: Falha de equipamento, inundação e fogo.
10.2 Se foram desenvolvidos planos para restaurar operações do
negócio dentro de um período de tempo requerido após uma
interrupção ou falha do processo de negócio.
11 Conformidade
11.1 Se existe algum procedimento para assegurar conformidade
com as restrições legais no uso de material de acordo com as
leis de propriedade intelectual, como as de direitos autorais,
patentes ou marcas registradas.
11.2 Se produtos de software proprietários são fornecidos sob um
contrato de licenciamento que restringe o uso dos produtos
em máquinas especificadas e que pode limitar a cópia apenas
para criação de uma cópia de segurança.
11.3 Se registros importantes da organização são protegidos contra
perda, destruição ou falsificação.
11.4 Se o uso de recursos de processamento da informação para
algum propósito sem relação com o negócio ou não
autorizado, sem aprovação da direção, é tratado como uso
impróprio do recurso.
11.5 Se é apresentada uma mensagem na tela do computador, no
log-on, indicando que o sistema é privado e o acesso não
autorizado não é permitido.
11.6 Se requisitos de auditoria e atividades envolvendo verificações
em sistemas operacionais são cuidadosamente
planejados e acordados para minimizar o risco de interrupção
dos processos do negócio.