FIAP 14AOJ - Instrucoes para o Trabalho Da Disciplina

Centro de Ps Graduao - FIAP
MBA Engenharia de Software Orientada a Servios

Instrues para trabalho de avaliao da disciplina: SEGURANA DA
INFORMAO
Integrantes do Grupo:
Fernando Machado Passos - 41434

Jos Augusto de Jesus Ribeiro - 41485
Rafael Spinelli Tchakirian - 41834
Renata Cristina Medeiros - 41571
Valria Carvalho de Sousa - 41684
Victor Hugo Boqui Rodrigues dos Santos 42006
Instrues:
1. Analisar a matriz de vulnerabilidades na tabela abaixo. Veja as situaes

encontradas numeradas de 1 a 29.
1.1. Para cada situao encontrada apresentada fazer as seguintes atividades:
1.2. Descrever os possveis riscos (ou impactos);
1.3. Identificar a seo de controle (ou sees de controle) da norma ISO 27002 que
se aplica (ou aplicam) situao encontrada descrita.
Ex. Seo: 5 - Poltica de segurana
Objetivo: 5.1.1 Documento da poltica de segurana
1.4. Estimar o nvel de risco de acordo com os critrios ALTO, MEDIO e BAIXO
(qualitativamente)
2. Reorganizar e contabilizar todas as atividades usando como critrio os nomes das
sees de controle da ISO 27002 . Exemplo: Controle de Acesso (x), Segurana
Fsica (y), etc.
3. Analisar o resultado e desenvolver os comentrios, as recomendaes e as
concluses finais do Plano de Segurana de TI.
4. Utilizar a apostila para consultar a norma ISO 27002 (17799:2005) no apndice.
5. Trabalho dever ser elaborado em grupo
6. Entregar tudo em um nico arquivo no portal com capa de rosto identificando os
componentes do grupo. (no enviar por e-mail)
7. importante destacar a importncia da anlise sobre o resultado do planejamento
durante a finalizao das concluses e recomendaes do grupo.
Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

CEP: 01538-001
Telefone: 55 11 3385-8000
E-mail: cpg@fiap.com.br
Home Page: www.fiap.com.br

CEP: 01538-001
Telefone: 55 11 3385-8000
PLANO DE SEGURANA DA INFORMAO

EMPRESA TOPABC
SITUAO ATUAL - MATRIZ DE VULNERABILIDADES
Nome da Seo de Nvel de

Item Situao Encontrada Impactos ou Riscos
Controle ISO 27002 Risco
1 Verificou-se que as alteraes nas Tabelas alteradas Seo 11. Access Alto
tabelas de roteamento da rede no indevidamente Control
evidenciam nenhuma autorizao Objetivo
formal. No esto disponveis 11.2.4 Review of
solicitaes para mudanas na rede de user access rights
modo a justificar essas alteraes 11.1.1. Access
control Policy 11.4.6
Network connection
control
11.5.2. User
identification and
authentication
Seo15 Compliance
Objetivo
15.1.3. Protection of
organizational
records
Seo 10
Communications ans
Operations
Management
Objetivo
10.1.2. Change
Managemen
2 Uma instruo publicada exige que Furto de Seo Baixo
todos os funcionrios informem ao equipamento Falta 5. Security Policy
Gerente de Segurana se eles virem de Controle de
qualquer equipamento sem a etiqueta manuteno Objetivo:
apropriada de inventrio de ativos. 5.1.1. Information
Nem todo pessoal entrevistado estava Security Policy
ciente desta exigncia. Document
Seo
9. Physical and
environment
security
Objetivo:
9.2. Equipment
security
Seo
8. Human
Resource
Security
9.
Objetivo

CEP: 01538-001
Telefone: 55 11 3385-8000
8.2.2. Information
security awareness,
education and
training
3 No momento da avaliao verificou-se Roubo de Seo Mdio
que o processo para analisar a informaes 15. compliance
conformidade com as polticas de 15.2.1. Compliance
segurana e normas/procedimentos Perda de with security policy
no estava implementado. informaes
Seo
5. Security Policy
Objetivo
5.1. Information
Security Polic
4 Verificou-se que os procedimentos do Risco de falha maior Seo 5 Security Mdio
datacenter da Empresa no detalham nos sistemas Policy
os passos a serem seguidos no caso Objetivo
de uma falha maior nos sistemas. No 5.1.1. Information
entanto o operador responsvel no Security Policy
momento da avaliao disse ter sido Document
orientado a contatar o gerente
responsvel Seo 8. Human
resources Security
Objetivo 8.1.1. Roles
and Responsibilities
Seo 10 -
Communications and
Operations
Management
Objetivo
10.7.4. Security of
system
documentation
Seo 13 -
Information Security
Incident
Management
Objetivo
13.1 Reporting
Events and
Weaknesses
5 No foram identificados requisitos de Falha em operaes Seo 6 - Alto
segurana da informao nos Organization of
seguintes contratos com fornecedores: Roubo de Information Security
TB (provedor de telecomunicaes) e informaes Obetivo: 6.2.3.
SEF (responsvel pelas operaes de Addressing security
TI) in third party
agreements
Seo: 10 -
Communications and
Operations
Management
Objetivo:

CEP: 01538-001
Telefone: 55 11 3385-8000
10.2. Third Party

Service Delivery
Management
10.2.2 Monitoring
and review of third
party services
10.2.3. Manage
changes to the third
party services
6 O processo atual de desenvolvimento Falha na segurana Seo 14 - Business Alto
de software no estabelece que um do software Continuity
Plano de Teste de segurana deva ser Management
criado, no assegurando portanto, que Objetivo:
a segurana seja parte integrante do 14.1.3.
sistema developingandimple
mentingcontinuitypla
ns
includinginformation
Security
Seo 12 -
Information Systems
Acquisition
Development and
Maintenance
Objetivo:
12.5. Security in
Development and
Support Processes
12.5.5. Outsourced
Software
Development
7 Verificou-se junto ao administrador de Falha do Firewall. Seo 6 Alto
rede, que o firewall falhou Organization of
rotineiramente toda sexta-feira pela Somente uma Information Security
manh. Esses incidentes no foram pessoa sabe o
registrados no log de incidentes de motivo do erro. Objetivo:
segurana. Quando perguntado o 6.1.3 - Allocation of
administrador disse que sabia do information security
problema e que, portanto no havia Responsibilities.
necessidade de registr-lo no log
6.2.1 - Identification
of risk related to
external parties
Seo 10 -
Communications and
Operations
Management
Objetivo:
10.6.1 - Network
Controls
10.10.1 - Audit
Logging

CEP: 01538-001
Telefone: 55 11 3385-8000
10.10.2 - Monitoring
system use
10.10.3 - Protection
of log information.
8 O departamento de marketing esta Aplicao sem teste, Seo 6 Mdio
usando uma nova ferramenta pode no funcionar Organization of
(aplicao) de analise de dados a qual corretamente. Information Security
foi enviada a eles diretamente pelos
programadores da empresa. Apresentar dados Objetivo.
incorretos 6.1 - Internal
Organization
6.1.4 - Authorization
process for
information
Processing Facilities
9 O procedimento de segurana CID 12 Seo 6 Alto
requer que verificaes de identidade Organization of
sejam realizadas para todos os Information Security
funcionrios. Nenhuma evidencia
objetiva para apoiar esse processo foi Objetivo:
observada no caso do guarda de 6.1 - Internal
segurana e da recepcionista. Organization
Seo 9 Physical
and Environmental
Security
Objetivo:
9.1 - Secure Area
9.1.2 - Physical entry
Control
10 Verificou-se que uma senha comum foi Acesso indevido Seo 6 Access Alto
usada por toda a Empresa para acesso informaes Control
a um sistema de informaes de
produtos da empresa. Isso foi feito Objetivo:
para ganhar tempo na emisso e re- 11.3.1 - Password
emisso das senhas para os 500 Use
funcionrios da rede
11.5 - Operating
System Access
Control
11 Verificou-se que o controle de acesso Roubo de Seo 8 - Human Alto
s dependncias do datacenter feito informao Resource Security
por meio de uma chave e no h
registro dos funcionrios e/ou Roubo de Objetivo:
prestadores de servio que equipamento (perda 8.1.1. - Roles and
entraram/saram do datacenter. financeira) Responsibilities.
Alm disso, a chave de acesso ao
datacenter fica depositada em uma Seo 6 Access
gaveta aberta. Control
Objetivo:
11.2.1 - User

CEP: 01538-001
Telefone: 55 11 3385-8000
Registration
11.5.2 - User
identification and
authentication
12 Verificou-se que no existe nenhuma Perda de dados Seo 10 - Mdio
documentao na qual esteja (falta de backup) Communications and
estabelecida a periodicidade, o Ooperations
processo e o procedimentos em que a Management
equipe de produo realiza os backups
dos sistemas e informaes da 10.1.1 - Document
Empresa. operating Procedure
10.5.1 - Information
Backup
10.7.4 - Security of
system
documentation
13 Embora exista um procedimento formal Acesso indevdo. Seo 8 Alto
para comunicao dos desligamentos Segurana
de funcionrios, por parte dos Gestores Fraude (um ex- em Recursos
e de Recursos Humanos, encontramos funcionrio tem Humanos
algumas contas ativas nos sistemas e acesso as
na rede pertencentes a funcionrios informaes da Objetivo:
desligados (ex-funcionrios) empresa). 8.3.1 Termination
Responsability
Pagamento de 8.3.3 Removal of
licenas adicionais access rights
de uso sem
necessidade.
14 Verificou-se a falta de travas ou Vazamento de Seo 9 Alto
qualquer outro controle fsico adicional informaes. Segurana
para segurana dos notebooks. Fsica e do ambiente
Observou-se que em alguns casos, os Roubo do notebook
notebooks so deixados sob as mesas (perda financeira). Objetivo:
durante o horrio de almoo e fora do Controle 9.2.1
expediente. Equipment
No so adotados controles adicionais Protection
quanto a entrada/sada de notebooks
nas dependncias da Empresa
15 A partir de um analise automatizada de Sofrer ataques Seo 10 - Mdio
vulnerabilidades na infra-estrutura contra Gerenciamento de
identifico-se que possvel a leitura do vulnerabilidades Comunicao
banner do servidor de web (HTTP) especficas do e Operao
quando se conecta porta 80. O servidor.
banner indica a marca e a verso do Objetivo:
servidor. Indisponibilidade do 10.6 Network
O banner mostrado a seguir: servidor. Security
Microsoft-IIS/5.0 Management
16 Verificou-se que no so realizados Acesso indevido. Seo 11 - Controle Alto
trabalhos peridicos de reviso dos de Acesso
perfis de acesso atribudos aos Fraude (um ex-
usurios, no ambiente de rede, Lotus funcionrio tem Objetivo:
Notes e sistemas aplicativos crticos de acesso as 11.2 User Access

CEP: 01538-001
Telefone: 55 11 3385-8000
negcios informaes da Management

empresa). 11.4 Network Access
control
Seo 15 -
Observncia.
Objetivo:
15.4 Network Access
control
17 Constatou-se que somente os Perda de dados Seo 10 - Mdio
servidores que suportam o ambiente Gerenciamento de
SPB possuem recursos contingenciais, Comunicao e
como cluster e duplicao de links. Operao
Objetivo:
10.5 Back Up
18 Verificou-se que muitas vezes os Acesso indevido. Seo 11 - Controle Baixo
responsveis pela aprovao das de Acesso
solicitaes de acesso no possuem o Fraude (um
conhecimento adequado de todas as funcionrio que no Objetivo:
funcionalidades especficas do sistema deveria, tem acesso 11.2 User Access
solicitado, dificultando o processo de as informaes da Management
concesso de acesso. empresa).
Atrapalhar o Seo 15 -
trabalho de Observncia.
funcionrios que
deveriam ter acesso Objetivo:
a uma 15.4 Network Access
funcionalidade, mas control.
no tem
19 Verificou-se que no processo da Acesso indevido. Seo 8 Mdio
criao do usurio no ambiente de Segurana de
rede no efetuada nenhuma Fraude (um Recursos Humanos
validao na base de dados de funcionrio que no
Recursos Humanos para assegurar deveria, tem acesso Objetivo:
que o usurio realmente funcionrio as informaes da 8.1.3 Terms and
da Empresa. empresa). conditions of
Cabe destacar que, no caso de employement
prestadores de servio, no existe
nenhuma base de dados na qual seja Seo 11 - Controle
possvel efetuar a validao da de Acesso
veracidade das informaes.
Objetivo:
11.2 User Access
Management
Seo 15 -
Observncia.
Objetivo:
15.4 Network Access
control.
20 Existem algumas aplicaes cuja Acesso indevido Seo 11 - Controle Alta

CEP: 01538-001
Telefone: 55 11 3385-8000
senha de acesso atribuda ao usurio, de Acesso

para uso da aplicao, a mesma que
permite o acesso direto ao banco de Objetivo:
dados. 11.3 User
Responsabilities
11.6 Application
access control
21 A Empresa no possui armazenamento Perda de dados Seo 10 Mdio
off-site das mdias de backup. Gerenciamento de
Comunicao e
Operao
Objetivo:
10.5 Backup
10.5.1 Information
Back up
22 Verificou-se que alguns equipamentos Roubo de dados Seo 9 Alto
desktop possuem gravadores de CD, Segurana Fsica e
os quais j vm instalados de fbrica, e Instalao de Ambiental
no so removidos. software mal
Adicionalmente, no existem intencionado Objetivo:
orientaes quanto ao uso de
dispositivos USB no ambiente. 9.1.2 Physical
entry controlos
9.2 Equipment
security
9.2.1 Equipment
sitting and protection
23 As estaes de trabalho no possuem Instalao de Seo 11 - Controle Alto
controles para impedir que o usurio software mal de Acesso
efetue a instalao de software nos intencionado
mesmos. Objetivo
Cabe destacar que, a deteco de Roubo de dados 11.4.2 User
software no autorizado ocorre authentication for
somente nas ocasies em que Perda de dados external connection
realizado o inventrio do ambiente,
aproximadamente uma/duas vezes ao Seo 12
ano. Desenvolvimento e
manuteno de
aquisio de sistema
de informao
Objetivo:
12.5.3 Restrictions
on changes to
software packages
24 A ferramenta freeware utilizada para Perda de histrico Seo 12 Mdio
inventrio de software do ambiente Desenvolvimento e
possui algumas deficincias: Instalao de manuteno de
-no registra as alteraes efetuadas softwares aquisio de sistema
no ambiente; e inapropriados de informao
-no identifica todos os executveis
existentes no equipamento, apenas os Objetivo:
registrados na ferramenta. 12.2 Correct
Processing in

CEP: 01538-001
Telefone: 55 11 3385-8000
applications
12.2.1 Input data
validation
25 Verificou-se que a Empresa no possui Infeco por vrus Seo Mdio

polticas e normas quanto a: em funo de 8 - Human Resource
-sites que podem ser acessados pelos acesso a sites ou Security
funcionrios e prestadores de servio download de
(incluindo sites de Webmail); e arquivos infectados. Objetivo:
-realizao de download de arquivos. 8.1.1 Roles and
Perda de Responsibilities
produtividade dos 8.1.3 Terms and
funcionrios em conditions of
funo da perda de employment
foco das atividades. 8.2.2 Information
security awareness,
education and
training
Seo
10 - Communications
and Operations
Management
Objetivo
10.6.1 Network
controls
10.6.2 Security of
Network services
10.10.1 Audit logging

10 10 2 Monitoring
system system
Seo
11 - Access Control
Objetivo:
11.1.1 Access
control Policy
11.2.1 User
Registration
26 Verificou-se que algumas estaes de Infeco por virus Seo Mdio
trabalho possuem modem instalado em funo de 6 - Organization of
ativo, porm a equipe de tecnologia acesso a sites ou Information Security
no mantm um controle efetivo sobre download de
quais equipamentos possuem esse arquivos infectados. Objetivo
recurso. 6.2.1 Identification of
Invaso por risk related to
harckers j que no external parties
existe firewall
restringindo o Seo:
acesso 7 - Asset
Management
Objetivo:

CEP: 01538-001
Telefone: 55 11 3385-8000
7.1.1 Inventory of
assets
7.1.2 Ownership of
Assets
7.1.3 Acceptable use
of assets
Seo
10 - Communications
and Operations
Management
Objetivo
10.6.1 Network
controls
10.6.2 Security of
Network services
Seo:
13 - Information
Security Incident
Management
Objetivo:
13.1.1 Reporting
Information security
events
13.1.2 Reporting
security weaknesses
13.2.2 Learning for
incidents
13.2.3 Collection of
evidence
27 Embora sejam gerados relatrios Perda de dados em Seo Alto
dirios referente s mquinas funo de aes de 10 - Communications
infectadas por vrus, worms, etc, as vrus. and Operations
aes tomadas para conteno do Management
problema ocorrem apenas Perda de
semanalmente. produtividade em Objetivo
funo da lentido 10.4.1 Controls
gerada por worms. against malicious
code
10.6 Network
Security
Management
Seo
13 - Information
Security Incident
Management
Objetivo
13.1.1 Reporting

CEP: 01538-001
Telefone: 55 11 3385-8000
events
13.1.2 Reporting
security weaknesses
13.2.2 Learning for
incidents
13.2.3 Collection of
evidence
28 No foi identificada a adoo de uma Furto de Seo Mdio
poltica de mesa limpa na Empresa. equipamentos 5 - Security Policy
Constatou-se tambm que os Objetivo
notebooks so deixados sobre as Prejuzo 5.11 Information
mesas, sem nenhuma proteo finananceiro com Security Policy
adicional, durante o horrio de almoo aquisio de novos Document
e fora do expediente. equipamentos
A utilizao de screen-saver protegidos Seo
por senha tambm no uma prtica 6 - Organization of
da organizao. Vazamento de
informaes Information Security
confidenciais. Objetivo
6.1.1 Management
Commitment to
information security
6.1.3 Allocation of
Responsibilities
Seo
7 - Asset
Management
Objetivo
7.1.1 Inventory of
assets
7.1.2 Ownership of
Assets
Seo
8 Human Resource
Security
Objetivo
8.1.1 Roles and
Responsibilities
8.1.3 Terms and
conditions of
employment
8.2.2 Information
security awareness,
education and
training
8.3.1 Termination
responsibility
8.3.2 Return
of assets
8.3.3 Removal of

CEP: 01538-001
Telefone: 55 11 3385-8000
access rights
Seo
9 - Physical and
Environmental
Security
Objetivo:
9.1.2 Physical entry
controls
9.1.3 Securing
offices, rooms and
facilities
9.2.1 Equipment
9.2.6 Secure
disposal or reuse of
equipment
Seo
11 - Access Control
Objetivo
11.3.2 Unattended
user equipment
11.3.3 Clear Desk
and Clear Screen
Policy
11.5.5 Session Time-
out
29 Por um perodo de 18 meses, um nico Furto de Alto
prdio administrativo com mais de equipamentos Seo
1000 empregados e prestadores de 5 - Security Policy
servio tm experimentado um Prejuzo financeiro
quantidade fora do normal de furtos de com aquisio de Objetivo
laptops. Como melhor prtica, o novos equipamentos 5.11 Information
Departamento de Segurana iniciou a Security Policy
realizar rondas para determinar a Document
incidncia de laptops desatendidos. A Vazamento de
companhia no tem uma poltica clara informaes
referente a salvaguarda de laptops confidenciais. Seo
6 - Organization of
Objetivo
6.1.1 Management
Commitment to
6.1.3 Allocation of
Responsibilities
Seo
7 - Asset
Management
Objetivo:

CEP: 01538-001
Telefone: 55 11 3385-8000
7.1.1 Inventory of
assets
7.1.2 Ownership of
Assets
Seo
8 - Human Resource
Security
Objetivo:
8.1.1 Roles and
Responsibilities
8.1.3 Terms and
conditions of
employment
8.2.2 Information
security awareness,
education and
training
8.3.1 Termination
responsibility
8.3.2 Return
of assets
8.3.3 Removal of
access rights
Seo
9 - Physical and
Environmental
Security
Objetivo
9.1.2 Physical entry
controls
9.1.3 Securing
offices, rooms and
facilities
9.2.1 Equipment
9.2.6 Secure
disposal or reuse of
equipment

CEP: 01538-001
Telefone: 55 11 3385-8000
Contabilizao das sees:

Security Policy(5)
Organization of Information Security(8)
Asset Management(3)
Human Resource Security(8)
Physical and Environmental Security(6)
Communications and Operations Management(11)
Access Control (10)
Information Systemns Acquisition Development and
Maintenance(3)
Information Security Incident Management(3)
Business Continuity Management(1)
Compliance(5)
Grfico comparando a utilizao das sees:
Figura 1. Comparao das Sesses da ISO 27002

CEP: 01538-001
Telefone: 55 11 3385-8000
Sugestes de melhorias para cada um dos itens:
Item Sugesto
1
2
3
4
5
6
7 Deve-se criar um log para verificar o problema no firewall e, assim que ele
for identificado, deve-se ser feita uma correo para evitar qualquer tipo de
ameaa ao sistema.
Alm disso, deve-se criar uma poltica para que todos os processos da
empresa tenham log, pois caso uma pessoa que conhea o funcionamento
do sistema seja desligada da empresa, no haver problema de perda de
informao, j que tudo estar registrado nos logs.
8 Criar um processo para homologao de todos os novos sistemas da
empresa. Caso entrem em produo sem testes, podem apresentar
informaes incorretas.
9 Treinar esses funcionrios para que eles verifiquem a identidade de todas
as pessoas que entram nas dependncias da empresa, a fim de evitar que
estranhos entrar na mesma.
10 Deve haver uma poltica para que as senhas de todos os funcionrios sejam
diferentes. Alm disso, deve haver uma regra que obrigue os funcionrios a
trocarem suas senhas em uma determinada frequncia.
11 Criar uma poltica em que sejam verificados os funcionrios que entram no
datacenter. Alm disso, a chave do local deve estar em um local seguro e
para ter acesso a ela, deve haver um pedido de autorizao formal.
12 Deve haver um procedimento, que esteja documentado, que regularize a
frequncia em que o backup realizado.
13 Criar uma poltica de desligamento de funcionrios. Todo funcionrio
desligado da empresa deve ter todas as contas no sistema inativadas.
14 Criar uma regra que obriga todos os funcionrios a utilizarem os notebooks
com uma espcie de trava. Alm disso, criar um documento de
responsabilidade que o funcionrio deve assinar ao emprestar um
notebook.
15 Bloquear a possibilidade de descobrir sobre qual servidor a empresa utiliza.
16 Criar uma poltica de reviso dos perfis de acesso aos sistemas da
empresa. Um funcionrio pode ter mudado de rea e no deve mais ter
acesso a certos dados da empresa.
17 Utilizar recursos de contingncia em todos os servidores da empresa, dessa
forma, evitando perda de dados e indisponibilidade do sistema.
18 Dar treinamento aos funcionrios de todas as ferramentas que eles devem
utilizar em seus respectivos trabalhos.
19 Criar uma poltica para verificar se todo o usurio criado para acessar a
rede seja um funcionrio da empresa, por exemplo, para criar um usurio, o

CEP: 01538-001
Telefone: 55 11 3385-8000
funcionrio deve estar presente.

Alm disso, deve-se criar uma poltica para verificar os dados de empresas
que prestam servio. Podem-se buscar os dados em bases de dados
pblicas.
20 Deve haver um processo que impossibilita que um mesmo usurio tenha a
mesma senha nos diversos sistemas da empresa. Ele deve ser obrigado a
ter uma senha por sistema. Pode-se ter tambm uma poltica que obriga o
funcionrio a trocar a sua senha em um determinado tempo.
21 Deve-se criar backup de todo o contedo da empresa e armazen-lo em
local seguro.
22 Deve haver uma poltica que obrigada a retirada de todos os gravadores de
CD dos computadores. Alm disso, a entrada USB deve ser inutilizada, para
evitar que dados sejam roubados, alm de dificultar a entrada de vrus nos
computadores da empresa. Para instalao de aplicaes, deve ser
utilizada a rede.
23 Criar um perfil no sistema para que os funcionrios no sejam aptos a
instalar aplicaes nos seus computadores, dependendo de algum
responsvel que tenha a senha de administrador para realizar essa ao.
Alm disso, quando necessrio instalar um software que no est na lista
de softwares homologados, deve-se homolog-lo antes de instal-lo nos
computadores, para verificar se no h nenhum tipo de problema, como
vrus ou incompatibilidade com o sistema.
24 Buscar uma alternativa a esse software: ou buscar um novo software que
faz todas essas tarefas ou implementar um que as faa.
25 Implantar politica de acesso internet e conscientizar os usurios sobre as
consequncias geradas pelo mau uso.
Implantao de sistema para controle de contedo para restringir e
monitorar a atividade dos usurios.
Restringir o acesso (local) do usurio visando bloquear a instalao de
novas aplicaes.
26 Remover ou desativar de forma permanente este recurso em funo da
grande vulnerabilidade que o mesmo oferece.
27 Alterao da poltica referente ao controle de cdigos maliciosos, pois
qualquer vrus deve ser eliminado imediatamente para evitar a sua
proliferao na rede.
28 Adoo da poltica de mesa limpa, implantao de travas para bloqueio
fsico dos notebooks e adoo de timeout da sesso.
29 Implantao de poltica de responsabilidade sobre o ativo e implantao de
travas para bloqueio fsico do notebook.
Concluso
A informao um ativo que possui grande valor para as empresas, devendo ser
adequadamente utilizada e protegida contra ameaas e riscos. A adoo de polticas e
procedimentos que visam garantir a segurana da informao deve ser prioridade
constante da empresa, reduzindo-se os riscos de falhas, os danos e os prejuzos que

CEP: 01538-001
Telefone: 55 11 3385-8000
possam comprometer a imagem e os objetivos da instituio. A informao pode

existir e ser manipulada de diversas formas, ou seja, por meio de arquivos eletrnicos,
mensagens eletrnicas, internet, bancos de dados, em meio impresso, verbalmente,
em mdias de udio, de vdeo, etc. Em geral, o sucesso da Poltica de Segurana da
Informao adotada por uma instituio depende da combinao de diversos
elementos, dentre eles, a estrutura organizacional da empresa, as normas e os
procedimentos relacionados segurana da informao e a maneira pela qual so
implantados e monitorados, os sistemas tecnolgicos utilizados, os mecanismos de
controle desenvolvidos, assim como o comportamento de diretores, funcionrios e
colaboradores.
A ISO 27002 direciona as empresas a adotarem polticas de segurana que visam
reforar o seu patrimnio, o seu valor perante os seus clientes. De acordo com o
levantamento feito nesse trabalho, foi destacado que h inmeras falhas de segurana
na empresa em questo.
Com a identificao dessas falhas, foi possvel averiguar quais os principais problemas
de segurana da empresa e recomendar algumas melhorias para que essas falhas
sejam sanadas, aumentando o grau de confiabilidade da empresa, tanto internamente
quanto externamente (com os seus clientes).

CEP: 01538-001
Telefone: 55 11 3385-8000

FIAP 14AOJ - Instrucoes para o Trabalho Da Disciplina

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

FIAP 14AOJ - Instrucoes para o Trabalho Da Disciplina

Uploaded by

Copyright:

Available Formats

Centro de Ps Graduao - FIAP

MBA Engenharia de Software Orientada a Servios

Fernando Machado Passos - 41434

1. Analisar a matriz de vulnerabilidades na tabela abaixo. Veja as situaes

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

PLANO DE SEGURANA DA INFORMAO

Nome da Seo de Nvel de

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

10.2. Third Party

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

negcios informaes da Management

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

senha de acesso atribuda ao usurio, de Acesso

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

25 Verificou-se que a Empresa no possui Infeco por vrus Seo Mdio

10.10.1 Audit logging

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

Contabilizao das sees:

Grfico comparando a utilizao das sees:

Figura 1. Comparao das Sesses da ISO 27002

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

Sugestes de melhorias para cada um dos itens:

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

funcionrio deve estar presente.

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

possam comprometer a imagem e os objetivos da instituio. A informao pode

Av Lins de Vasconcelos, 1264 Aclimao So Paulo SP

You might also like