Professional Documents
Culture Documents
Integrantes do Grupo:
Instrues:
Seo15 Compliance
Objetivo
15.1.3. Protection of
organizational
records
Seo 10
Communications ans
Operations
Management
Objetivo
10.1.2. Change
Managemen
2 Uma instruo publicada exige que Furto de Seo Baixo
todos os funcionrios informem ao equipamento Falta 5. Security Policy
Gerente de Segurana se eles virem de Controle de
qualquer equipamento sem a etiqueta manuteno Objetivo:
apropriada de inventrio de ativos. 5.1.1. Information
Nem todo pessoal entrevistado estava Security Policy
ciente desta exigncia. Document
Seo
9. Physical and
environment
security
Objetivo:
9.2. Equipment
security
Seo
8. Human
Resource
Security
9.
Objetivo
8.2.2. Information
security awareness,
education and
training
3 No momento da avaliao verificou-se Roubo de Seo Mdio
que o processo para analisar a informaes 15. compliance
conformidade com as polticas de 15.2.1. Compliance
segurana e normas/procedimentos Perda de with security policy
no estava implementado. informaes
Seo
5. Security Policy
Objetivo
5.1. Information
Security Polic
4 Verificou-se que os procedimentos do Risco de falha maior Seo 5 Security Mdio
datacenter da Empresa no detalham nos sistemas Policy
os passos a serem seguidos no caso Objetivo
de uma falha maior nos sistemas. No 5.1.1. Information
entanto o operador responsvel no Security Policy
momento da avaliao disse ter sido Document
orientado a contatar o gerente
responsvel Seo 8. Human
resources Security
Objetivo 8.1.1. Roles
and Responsibilities
Seo 10 -
Communications and
Operations
Management
Objetivo
10.7.4. Security of
system
documentation
Seo 13 -
Information Security
Incident
Management
Objetivo
13.1 Reporting
Information Security
Events and
Weaknesses
5 No foram identificados requisitos de Falha em operaes Seo 6 - Alto
segurana da informao nos Organization of
seguintes contratos com fornecedores: Roubo de Information Security
TB (provedor de telecomunicaes) e informaes Obetivo: 6.2.3.
SEF (responsvel pelas operaes de Addressing security
TI) in third party
agreements
Seo: 10 -
Communications and
Operations
Management
Objetivo:
Seo 12 -
Information Systems
Acquisition
Development and
Maintenance
Objetivo:
12.5. Security in
Development and
Support Processes
12.5.5. Outsourced
Software
Development
7 Verificou-se junto ao administrador de Falha do Firewall. Seo 6 Alto
rede, que o firewall falhou Organization of
rotineiramente toda sexta-feira pela Somente uma Information Security
manh. Esses incidentes no foram pessoa sabe o
registrados no log de incidentes de motivo do erro. Objetivo:
segurana. Quando perguntado o 6.1.3 - Allocation of
administrador disse que sabia do information security
problema e que, portanto no havia Responsibilities.
necessidade de registr-lo no log
6.2.1 - Identification
of risk related to
external parties
Seo 10 -
Communications and
Operations
Management
Objetivo:
10.6.1 - Network
Controls
10.10.1 - Audit
Logging
10.10.2 - Monitoring
system use
10.10.3 - Protection
of log information.
8 O departamento de marketing esta Aplicao sem teste, Seo 6 Mdio
usando uma nova ferramenta pode no funcionar Organization of
(aplicao) de analise de dados a qual corretamente. Information Security
foi enviada a eles diretamente pelos
programadores da empresa. Apresentar dados Objetivo.
incorretos 6.1 - Internal
Organization
6.1.4 - Authorization
process for
information
Processing Facilities
9 O procedimento de segurana CID 12 Seo 6 Alto
requer que verificaes de identidade Organization of
sejam realizadas para todos os Information Security
funcionrios. Nenhuma evidencia
objetiva para apoiar esse processo foi Objetivo:
observada no caso do guarda de 6.1 - Internal
segurana e da recepcionista. Organization
Seo 9 Physical
and Environmental
Security
Objetivo:
9.1 - Secure Area
9.1.2 - Physical entry
Control
10 Verificou-se que uma senha comum foi Acesso indevido Seo 6 Access Alto
usada por toda a Empresa para acesso informaes Control
a um sistema de informaes de
produtos da empresa. Isso foi feito Objetivo:
para ganhar tempo na emisso e re- 11.3.1 - Password
emisso das senhas para os 500 Use
funcionrios da rede
11.5 - Operating
System Access
Control
11 Verificou-se que o controle de acesso Roubo de Seo 8 - Human Alto
s dependncias do datacenter feito informao Resource Security
por meio de uma chave e no h
registro dos funcionrios e/ou Roubo de Objetivo:
prestadores de servio que equipamento (perda 8.1.1. - Roles and
entraram/saram do datacenter. financeira) Responsibilities.
Alm disso, a chave de acesso ao
datacenter fica depositada em uma Seo 6 Access
gaveta aberta. Control
Objetivo:
11.2.1 - User
Registration
11.5.2 - User
identification and
authentication
12 Verificou-se que no existe nenhuma Perda de dados Seo 10 - Mdio
documentao na qual esteja (falta de backup) Communications and
estabelecida a periodicidade, o Ooperations
processo e o procedimentos em que a Management
equipe de produo realiza os backups
dos sistemas e informaes da 10.1.1 - Document
Empresa. operating Procedure
10.5.1 - Information
Backup
10.7.4 - Security of
system
documentation
13 Embora exista um procedimento formal Acesso indevdo. Seo 8 Alto
para comunicao dos desligamentos Segurana
de funcionrios, por parte dos Gestores Fraude (um ex- em Recursos
e de Recursos Humanos, encontramos funcionrio tem Humanos
algumas contas ativas nos sistemas e acesso as
na rede pertencentes a funcionrios informaes da Objetivo:
desligados (ex-funcionrios) empresa). 8.3.1 Termination
Responsability
Pagamento de 8.3.3 Removal of
licenas adicionais access rights
de uso sem
necessidade.
14 Verificou-se a falta de travas ou Vazamento de Seo 9 Alto
qualquer outro controle fsico adicional informaes. Segurana
para segurana dos notebooks. Fsica e do ambiente
Observou-se que em alguns casos, os Roubo do notebook
notebooks so deixados sob as mesas (perda financeira). Objetivo:
durante o horrio de almoo e fora do Controle 9.2.1
expediente. Equipment
No so adotados controles adicionais Protection
quanto a entrada/sada de notebooks
nas dependncias da Empresa
15 A partir de um analise automatizada de Sofrer ataques Seo 10 - Mdio
vulnerabilidades na infra-estrutura contra Gerenciamento de
identifico-se que possvel a leitura do vulnerabilidades Comunicao
banner do servidor de web (HTTP) especficas do e Operao
quando se conecta porta 80. O servidor.
banner indica a marca e a verso do Objetivo:
servidor. Indisponibilidade do 10.6 Network
O banner mostrado a seguir: servidor. Security
Microsoft-IIS/5.0 Management
16 Verificou-se que no so realizados Acesso indevido. Seo 11 - Controle Alto
trabalhos peridicos de reviso dos de Acesso
perfis de acesso atribudos aos Fraude (um ex-
usurios, no ambiente de rede, Lotus funcionrio tem Objetivo:
Notes e sistemas aplicativos crticos de acesso as 11.2 User Access
Seo 15 -
Observncia.
Objetivo:
15.4 Network Access
control
17 Constatou-se que somente os Perda de dados Seo 10 - Mdio
servidores que suportam o ambiente Gerenciamento de
SPB possuem recursos contingenciais, Comunicao e
como cluster e duplicao de links. Operao
Objetivo:
10.5 Back Up
18 Verificou-se que muitas vezes os Acesso indevido. Seo 11 - Controle Baixo
responsveis pela aprovao das de Acesso
solicitaes de acesso no possuem o Fraude (um
conhecimento adequado de todas as funcionrio que no Objetivo:
funcionalidades especficas do sistema deveria, tem acesso 11.2 User Access
solicitado, dificultando o processo de as informaes da Management
concesso de acesso. empresa).
Atrapalhar o Seo 15 -
trabalho de Observncia.
funcionrios que
deveriam ter acesso Objetivo:
a uma 15.4 Network Access
funcionalidade, mas control.
no tem
19 Verificou-se que no processo da Acesso indevido. Seo 8 Mdio
criao do usurio no ambiente de Segurana de
rede no efetuada nenhuma Fraude (um Recursos Humanos
validao na base de dados de funcionrio que no
Recursos Humanos para assegurar deveria, tem acesso Objetivo:
que o usurio realmente funcionrio as informaes da 8.1.3 Terms and
da Empresa. empresa). conditions of
Cabe destacar que, no caso de employement
prestadores de servio, no existe
nenhuma base de dados na qual seja Seo 11 - Controle
possvel efetuar a validao da de Acesso
veracidade das informaes.
Objetivo:
11.2 User Access
Management
Seo 15 -
Observncia.
Objetivo:
15.4 Network Access
control.
20 Existem algumas aplicaes cuja Acesso indevido Seo 11 - Controle Alta
11.6 Application
access control
21 A Empresa no possui armazenamento Perda de dados Seo 10 Mdio
off-site das mdias de backup. Gerenciamento de
Comunicao e
Operao
Objetivo:
10.5 Backup
10.5.1 Information
Back up
22 Verificou-se que alguns equipamentos Roubo de dados Seo 9 Alto
desktop possuem gravadores de CD, Segurana Fsica e
os quais j vm instalados de fbrica, e Instalao de Ambiental
no so removidos. software mal
Adicionalmente, no existem intencionado Objetivo:
orientaes quanto ao uso de
dispositivos USB no ambiente. 9.1.2 Physical
entry controlos
9.2 Equipment
security
9.2.1 Equipment
sitting and protection
23 As estaes de trabalho no possuem Instalao de Seo 11 - Controle Alto
controles para impedir que o usurio software mal de Acesso
efetue a instalao de software nos intencionado
mesmos. Objetivo
Cabe destacar que, a deteco de Roubo de dados 11.4.2 User
software no autorizado ocorre authentication for
somente nas ocasies em que Perda de dados external connection
realizado o inventrio do ambiente,
aproximadamente uma/duas vezes ao Seo 12
ano. Desenvolvimento e
manuteno de
aquisio de sistema
de informao
Objetivo:
12.5.3 Restrictions
on changes to
software packages
24 A ferramenta freeware utilizada para Perda de histrico Seo 12 Mdio
inventrio de software do ambiente Desenvolvimento e
possui algumas deficincias: Instalao de manuteno de
-no registra as alteraes efetuadas softwares aquisio de sistema
no ambiente; e inapropriados de informao
-no identifica todos os executveis
existentes no equipamento, apenas os Objetivo:
registrados na ferramenta. 12.2 Correct
Processing in
applications
12.2.1 Input data
validation
Seo
10 - Communications
and Operations
Management
Objetivo
10.6.1 Network
controls
10.6.2 Security of
Network services
Seo
11 - Access Control
Objetivo:
11.1.1 Access
control Policy
11.2.1 User
Registration
26 Verificou-se que algumas estaes de Infeco por virus Seo Mdio
trabalho possuem modem instalado em funo de 6 - Organization of
ativo, porm a equipe de tecnologia acesso a sites ou Information Security
no mantm um controle efetivo sobre download de
quais equipamentos possuem esse arquivos infectados. Objetivo
recurso. 6.2.1 Identification of
Invaso por risk related to
harckers j que no external parties
existe firewall
restringindo o Seo:
acesso 7 - Asset
Management
Objetivo:
7.1.1 Inventory of
assets
7.1.2 Ownership of
Assets
7.1.3 Acceptable use
of assets
Seo
10 - Communications
and Operations
Management
Objetivo
10.6.1 Network
controls
10.6.2 Security of
Network services
Seo:
13 - Information
Security Incident
Management
Objetivo:
13.1.1 Reporting
Information security
events
13.1.2 Reporting
security weaknesses
13.2.2 Learning for
Information security
incidents
13.2.3 Collection of
evidence
27 Embora sejam gerados relatrios Perda de dados em Seo Alto
dirios referente s mquinas funo de aes de 10 - Communications
infectadas por vrus, worms, etc, as vrus. and Operations
aes tomadas para conteno do Management
problema ocorrem apenas Perda de
semanalmente. produtividade em Objetivo
funo da lentido 10.4.1 Controls
gerada por worms. against malicious
code
10.6 Network
Security
Management
Seo
13 - Information
Security Incident
Management
Objetivo
13.1.1 Reporting
Information security
events
13.1.2 Reporting
security weaknesses
13.2.2 Learning for
Information security
incidents
13.2.3 Collection of
evidence
28 No foi identificada a adoo de uma Furto de Seo Mdio
poltica de mesa limpa na Empresa. equipamentos 5 - Security Policy
Constatou-se tambm que os Objetivo
notebooks so deixados sobre as Prejuzo 5.11 Information
mesas, sem nenhuma proteo finananceiro com Security Policy
adicional, durante o horrio de almoo aquisio de novos Document
e fora do expediente. equipamentos
A utilizao de screen-saver protegidos Seo
por senha tambm no uma prtica 6 - Organization of
da organizao. Vazamento de
informaes Information Security
confidenciais. Objetivo
6.1.1 Management
Commitment to
information security
6.1.3 Allocation of
information security
Responsibilities
Seo
7 - Asset
Management
Objetivo
7.1.1 Inventory of
assets
7.1.2 Ownership of
Assets
Seo
8 Human Resource
Security
Objetivo
8.1.1 Roles and
Responsibilities
8.1.3 Terms and
conditions of
employment
8.2.2 Information
security awareness,
education and
training
8.3.1 Termination
responsibility
8.3.2 Return
of assets
8.3.3 Removal of
access rights
Seo
9 - Physical and
Environmental
Security
Objetivo:
9.1.2 Physical entry
controls
9.1.3 Securing
offices, rooms and
facilities
9.2.1 Equipment
sitting and protection
9.2.6 Secure
disposal or reuse of
equipment
Seo
11 - Access Control
Objetivo
11.3.2 Unattended
user equipment
11.3.3 Clear Desk
and Clear Screen
Policy
11.5.5 Session Time-
out
29 Por um perodo de 18 meses, um nico Furto de Alto
prdio administrativo com mais de equipamentos Seo
1000 empregados e prestadores de 5 - Security Policy
servio tm experimentado um Prejuzo financeiro
quantidade fora do normal de furtos de com aquisio de Objetivo
laptops. Como melhor prtica, o novos equipamentos 5.11 Information
Departamento de Segurana iniciou a Security Policy
realizar rondas para determinar a Document
incidncia de laptops desatendidos. A Vazamento de
companhia no tem uma poltica clara informaes
referente a salvaguarda de laptops confidenciais. Seo
6 - Organization of
Information Security
Objetivo
6.1.1 Management
Commitment to
information security
6.1.3 Allocation of
information security
Responsibilities
Seo
7 - Asset
Management
Objetivo:
7.1.1 Inventory of
assets
7.1.2 Ownership of
Assets
Seo
8 - Human Resource
Security
Objetivo:
8.1.1 Roles and
Responsibilities
8.1.3 Terms and
conditions of
employment
8.2.2 Information
security awareness,
education and
training
8.3.1 Termination
responsibility
8.3.2 Return
of assets
8.3.3 Removal of
access rights
Seo
9 - Physical and
Environmental
Security
Objetivo
9.1.2 Physical entry
controls
9.1.3 Securing
offices, rooms and
facilities
9.2.1 Equipment
sitting and protection
9.2.6 Secure
disposal or reuse of
equipment
Item Sugesto
1
2
3
4
5
6
7 Deve-se criar um log para verificar o problema no firewall e, assim que ele
for identificado, deve-se ser feita uma correo para evitar qualquer tipo de
ameaa ao sistema.
Alm disso, deve-se criar uma poltica para que todos os processos da
empresa tenham log, pois caso uma pessoa que conhea o funcionamento
do sistema seja desligada da empresa, no haver problema de perda de
informao, j que tudo estar registrado nos logs.
8 Criar um processo para homologao de todos os novos sistemas da
empresa. Caso entrem em produo sem testes, podem apresentar
informaes incorretas.
9 Treinar esses funcionrios para que eles verifiquem a identidade de todas
as pessoas que entram nas dependncias da empresa, a fim de evitar que
estranhos entrar na mesma.
10 Deve haver uma poltica para que as senhas de todos os funcionrios sejam
diferentes. Alm disso, deve haver uma regra que obrigue os funcionrios a
trocarem suas senhas em uma determinada frequncia.
11 Criar uma poltica em que sejam verificados os funcionrios que entram no
datacenter. Alm disso, a chave do local deve estar em um local seguro e
para ter acesso a ela, deve haver um pedido de autorizao formal.
12 Deve haver um procedimento, que esteja documentado, que regularize a
frequncia em que o backup realizado.
13 Criar uma poltica de desligamento de funcionrios. Todo funcionrio
desligado da empresa deve ter todas as contas no sistema inativadas.
14 Criar uma regra que obriga todos os funcionrios a utilizarem os notebooks
com uma espcie de trava. Alm disso, criar um documento de
responsabilidade que o funcionrio deve assinar ao emprestar um
notebook.
15 Bloquear a possibilidade de descobrir sobre qual servidor a empresa utiliza.
16 Criar uma poltica de reviso dos perfis de acesso aos sistemas da
empresa. Um funcionrio pode ter mudado de rea e no deve mais ter
acesso a certos dados da empresa.
17 Utilizar recursos de contingncia em todos os servidores da empresa, dessa
forma, evitando perda de dados e indisponibilidade do sistema.
18 Dar treinamento aos funcionrios de todas as ferramentas que eles devem
utilizar em seus respectivos trabalhos.
19 Criar uma poltica para verificar se todo o usurio criado para acessar a
rede seja um funcionrio da empresa, por exemplo, para criar um usurio, o
Concluso
A informao um ativo que possui grande valor para as empresas, devendo ser
adequadamente utilizada e protegida contra ameaas e riscos. A adoo de polticas e
procedimentos que visam garantir a segurana da informao deve ser prioridade
constante da empresa, reduzindo-se os riscos de falhas, os danos e os prejuzos que