Segurança e Auditoria em Sistemas de Informação

UNIVERSIDADE FEDERAL DO AMAZONAS - UFAM[pic 1]

Instituto de Computação - ICOMP

Segurança e Auditoria em Sistemas de Informação

Manaus - Amazonas

2019

Andrew Felipe Almeida de Souza  - e-mail: afas@icomp.ufam.edu.br

SGSI

Manaus - Amazonas

2019

Sumário

1. Sumário Gerencial …………………………………………………………………… 4
2. Diagnóstico da Área de Informática ………………………………………………..... 6
3. Plano de Organização da Área de Segurança em Informação ……………………. 11
4. Plano de Tecnologia ………………………………………………………………… 13
5. Plano de Ação ………………………………………………………………………. 15
6. Plano de Classificação de Dados …………………………………………………… 16
7. Plano de Treinamento ………………………………………………………………. 18
8. Plano Tático de Segurança em Informática…………….…………………………….19

1.  Sumário Gerencial

Na definição deste documento foram realizadas diversas atividades para atender e manter os três pilares da segurança da informação (integridade, confidencialidade e disponibilidade), realizando levantamentos e avaliações de tudo que engloba informações da instituição em estudo.

As definições de alguns princípios e conceitos da segurança da informação seguem necessárias para a compreensão do que será abordado e demonstrado nos tópicos seguintes deste documento.

• Integridade: Segundo Andress Jason (2011, p. 6) integridade é prevenir que sua informação não seja modificada por alguém que não está autorizado ou de maneira indesejada. Seja uma alteração ou exclusão não autorizada de nossos dados ou parte deles.;
• Confidencialidade: A confidencialidade é um componente necessário da privacidade e refere-se à nossa capacidade de proteger nossos dados daqueles que não estão autorizados a visualizá-los. (Jason; 2011, p. 6);
• Disponibilidade: Garantia de que a informação e os ativos associados estejam disponíveis para os usuários legítimos de forma oportuna. (Beal, 2008, p. 1);
• Ativo: Qualquer coisa que tenha valor para a organização (ISO/IEC 13335-1:2004).
• Ativo de Informação: Base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas (ISO/IEC 27002:2005).
• Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização (ISO/IEC 13335-1:2004)
• Ataque: O ato de tentar desviar dos controles de segurança de um sistema. Ou ainda, qualquer ação que comprometa a segurança da informação de propriedade de uma organização.
• Incidente: É um simples (ou uma série de) evento(s) indesejado(s) ou inesperado(s), que tem uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.  (ISO/IEC TR 18044:2004)
• Políticas de Segurança: Trata-se um conjunto de diretrizes (normas) que definem formalmente as regras e os direitos dos usuários, visando à proteção adequada dos ativos da informação.
• Controle de Acesso: É todo e qualquer mecanismo utilizado para diminuir as fraquezas de ativo da informação, seja um equipamento, tecnologia, pessoa ou processo.

Para a elaboração do documento tomamos por base constatações relacionadas às ISOs 27001, 27002, 27003, 27004 e 27005, a fim de obter informações sobre como implementar o SGSI. Na primeira etapa, de Organização e Administração do Projeto, houve uma visita nas dependências do Icomp onde realizou-se inspeção e levantamento sobre a situação desses locais. Com todas as informações coletadas durante a inspeção, elaboraram-se planos de ação voltados para as necessidades de cada local. Após a fase de elaboração pretende-se apresentar esses planos à organização, ressalta-se que cabe à ela a decisão de aderir ou não ao sistema proposto, bem como seu cumprimento e manutenção.

1.1 Classificação da importância do ativo

Foi estabelecida uma classificação dos ativos conforme a sua necessidade para a continuidade de operação de cada área de informática, sendo ela:

1. Baixa: ativo não possui grande importância para o funcionamento e operação do local, sendo possível que o local opere sem o mesmo;
2. Média: ativo possui importância parcial na operação do local, sendo necessário de uso para operação, porém, sem o mesmo, é possível operar com restrições;
3. Alta: ativo possui função imprescindível para a plena operação e execução de seu objetivo.

1.2 Classificação da informação

Para cada ativo levantado no diagnóstico da área de informática, uma classificação foi definida, sendo ela:

1. Pública: ativos possuem informações que possuem restrições e que podem ser de conhecimento público, não prejudicando a operação da organização;
2. Restrita: ativos que contenham informações que não exigem um nível de confidencialidade, mas que não é interessante permitir o acesso público a eles, sendo apenas utilizados internamente;
3. Confidencial: ativos que possuem informações que exigem um alto nível de confidencialidade que se expostas de maneira incorreta ou possuir um acesso não autorizado, pode prejudicar a operação e continuidade da instituição.

2. Diagnóstico da área de informática

Todos os locais de responsabilidade do Icomp que continham algum artefato relacionado a informática foram verificados pela equipe, que analisou e identificou possíveis riscos. Ficaram isentas da análise as salas pertencentes às Startups que estão localizadas no Icomp.

...