avaliação de conformidade a modelos de gestão de segurança da

Transcrição

Universidade de Brasília
Instituto de Ciências Exatas
Departamento de Ciência da Computação
Curso de Especialização em Gestão de Segurança da Informação e
Comunicações
Rubem Ribeiro Veloso
AVALIAÇÃO DE CONFORMIDADE A MODELOS DE
GESTÃO DE SEGURANÇA DA INFORMAÇÃO NA
MARINHA DO BRASIL (MB)
Orientador:
Prof José Ricardo Souza Camelo
Brasília, dezembro de 2008.
ii
Instituto de Ciências Exatas
Departamento de Ciência da Computação
Curso de Especialização em Gestão de Segurança da Informação e
Comunicações
Orientador:
Prof José Ricardo Souza Camelo
iii
Monografia apresentada como requisito
parcial para a obtenção do título de
Especialização defendida sobre o tema
“Avaliação de Conformidade a Modelos de
Gestão de Segurança da Informação na
Marinha do Brasil”, do Curso de Gestão da
Segurança da Informação e Comunicações da
Universidade de Brasília.
Prof orientador: José Ricardo Souza Camelo
iv
ERRATA
Folha Linha
Onde se lê
Leia-se
v
MARINHA DO BRASIL (MB).
Monografia de Especialização submetida e aprovada pela Universidade de Brasília como
parte do requisito parcial para obtenção do certificado de Especialista em Gestão de
Segurança da Informação e Comunicações.
Aprovada em:
Prof. José Ricardo Souza Camelo, Dr. (Orientador)
Prof. Jorge Henrique Cabral Fernandes, Dr.
Prof. João Gondim, Dr.
vi
DEDICATÓRIA
Dedico esta pesquisa a minha
esposa Bianca pelo incentivo nas horas mais
difíceis e aos meus filhos Ananda e Khayyam
pela
paciência
companhia.
e
espera
pela
minha
vii
AGRADECIMENTOS
A todos os colegas de turma,
pela amizade, profissionalismo, incentivo e
colaboração nos vários grupos formados para
elaboração dos diversos trabalhos.
Ao Prof. Dr. Jorge Henrique Cabral Fernandes,
pela compreensão de nossas dificuldades e
ajuda na confecção dos muitos trabalhos
elaborados.
À Prof. Dra. Magda Fernanda Medeiros Fernandes,
Pelas orientações no trabalho “Problema de
Pesquisa” que me deu o “norte” para a
elaboração desta Monografia.
À minha família,
Pela compreensão, apoio e paciência com as minhas
ausências.
A Deus,
Por tudo de bom que ele me deu inclusive as
dificuldades que acompanhadas pela Fé, Trabalho e
Perseverança, me ajudaram a crescer e me tornar
mais forte.
viii
"Em toda luta por um ideal se tropeça por
adversários e se cria inimizades. O homem
firme não os ouve e nem se detém a contá-los.
Segue sua rota irredutível em sua fé,
imperturbável em sua ação, porque quem
marcha em direção de uma luz não pode ver o
que ocorre nas sombras."
Autor Desconhecido.
ix
RESUMO
Esta pesquisa visa a atender a necessidade de aprimoramento da Gestão da Segurança
da Informação na Marinha do Brasil e também verificar se os instrumentos normativos
internos sobre Segurança da Informação estão em conformidade com a norma
ABNT NBR ISO/IEC 17999 (Tecnologia da informação - Técnicas de segurança - Código de
prática para a gestão da segurança da informação).
O levantamento dos assuntos relevantes foi realizado por meio de uma pesquisa
exploratória constituída por uma análise bibliográfica e a análise documental. A análise
documental está baseada nos documentos formalmente publicados no âmbito da Marinha do
Brasil. Os dados obtidos na pesquisa documental são tratados de forma qualitativa. São
abordados temas da gestão da segurança da informação e apresentado como a Marinha do
Brasil trata a Gestão da Segurança da Informação, sua infra-estrutura de intranet e internet.
É feita uma avaliação de conformidade dos controles: “Política de Segurança da
Informação”, “Organizando a Segurança da Informação” e “Gestão de Riscos”. Ao final
conclui-se que a Marinha do Brasil possui documentação formalmente instituída e estruturada
de forma a se adequar e manter atualizada frente às constantes inovações de TI e preparada
para se contrapor as possíveis ameaças no campo da segurança da Informação.
x
ABSTRACT
This research aims at to take care of the necessity of improvement of the Management
of the Security of the Information in the Brazilian Navy and also to verify if the internal
normative instruments on Security of the Information are in compliance with norm
ABNT NBR ISO/IEC 17999 (Technology of the information - Techniques of security - Code
of practical for the management of the security of the information).
The survey of the relevant subjects were carried through by means of explanatory
research consisting by bibliographical and documentary analysis. The documentary analysis is
based on legal documents published in the scope of the Brazilian Navy. The data gotten in the
documentary research were dealt with qualitative form. There were boarded subjects of the
management of the security and presented information how Brazilian Navy deals with the
Management the Security of the Information, its infrastructure of Intranet and Internet.
An evaluation of conformity of the controls is made in the “Politics of Security of the
Information”, “Organizing the Security of the Information” and “Management of Risks”. And
finally, it is concluded that the Brazilian Navy possess formal documentation instituted and
structuralized to adjust and to keep brought up to date in front to the constant innovations of
Information Tecnology and prepared to oppose the possible threats in the field of the
Information Security.
xi
LISTAS DE ILUSTRAÇÕES
Figura 1: Tipos de ataques ou abusos detectados nos últimos 12 meses por
percentual de entrevistados. Pesquisa CSI/FBI 2006 _______________________ 25
Figura 2: Backbone Principal da RECIM _________________________________ 32
Figura 3: Rede Metropolitana do 1º DN __________________________________ 32
Figura 4: Conjunto de Equipamentos que constituem o Ponto de Interligação entre
os DN ____________________________________________________________ 33
Figura 5: Conjunto de Equipamentos por onde um Complexo se interliga a outros
dentro da Área Metropolitana __________________________________________ 34
Figura 6: Níveis entre Política, Normas e Procedimentos ____________________ 57
xii
LISTA DE TABELAS
Tabela 1: Conformidade da “Política de Segurança da Informação” ____________ 56
Tabela 2: Conformidade da "Organização da Segurança da Informação" ________ 58
Tabela 3: Conformidade da "Gestão de Riscos" ___________________________ 60
xiii
LISTA DE ABREVIATURAS E SIGLAS
ABNT:
ADMIN:
APF:
BAeNSPA:
BONO:
C&T:
CASNAV:
CDMB:
CETELMA:
CM:
COMCITEM:
COMIMSUP:
COMOPNAVINST:
COTEC-TI:
COTIM:
COTIM:
CTIM:
CTMSP:
DAdM:
DCTIM:
DE:
DGMM:
DN:
DTM:
EEM:
e-Gov:
EMA:
e-Ping:
GSIC:
GT:
GT-TI:
HRL:
ICP-Brasil:
IEC:
IP:
ISID:
ISSO:
MB:
NBR:
ODE:
ODG:
ODS:
OI:
OM:
OMOT-T:
OMOT-TI:
Associação Brasileira de Normas Técnicas
Administrador da rede local
Administração Pública Federal
Base Aeronaval de São Pedro da Aldeia
Boletim de Ordens e Notícias
Ciência e Tecnologia
Centro de Análise de Sistemas Navais
Centro de Dados da Marinha do Brasil
Central Telefônica da Marinha
Comandante da Marinha
Comissão de Ciência e Tecnologia da Marinha
Comando Imediatamente Superior
Instrução do Comando de Operações Navais
Comissão Técnica em Tecnologia da Informação
Conselho de Tecnologia da Informação da Marinha
Conselho de TI na Marinha do Brasil
Centro de Tecnologia e Informação da Marinha
Centro Tecnológico da Marinha em São Paulo
Diretoria de Administração da Marinha
Diretoria de Comunicações e Tecnologia da Informação da Marinha
Diretoria Especializada
Diretoria Geral do Material da Marinha
Distrito(s) Naval(is)
Diretoria de Telecomunicações da Marinha
Estudo de Estado-Maior
Programa de Governo Eletrônico
Estado Maior da Armada
Padrões de Interoperabilidade do Governo
Gestão de Segurança da Informação e Comunicações
Grupo de Trabalho
Grupo de Trabalho em Tecnologia da Informação
Histórico da Rede Local
Infra-estrutura de Chaves Públicas Brasileira
International Electrotechnical Commission
Internet Protocol
Instrução de Segurança das Informações Digitais
International Organization for Standardization
Marinha do Brasil
Norma Brasileira
Órgãos de Direção Especializada
Órgão de Direção Geral
Órgãos de Direção Setorial
Ordem Interna
Organização MIlitar
Organização Militar Orientadora Técnica de Telecomunicações
Organização Militar Orientadora Técnica de TI
xiv
OSID:
PLCONT:
RCC:
RECIM:
RETELMA:
RI:
SegOrg:
SI:
SIC:
SID:
SIDRL:
SISCOM:
SISNC2:
SOA:
SPD:
TCP:
TI:
TRET:
TRI:
WAN:
Oficial de Segurança das Informações Digitais
Plano de Contingência
Recursos Computacionais Críticos
Rede de Comunicações Integrada da Marinha
Rede de Telefônica da Marinha
Relato do Incidente
Segurança Orgânica
Segurança da Informação
Segurança da Informação e Comunicações
Segurança das Informações Digitais
Segurança das Informações Digitais em Redes Locais
Sistema de Comunicações da Marinha
Sistema Naval de Comando e Controle
Supervisor Operacional de Área
Sistemática do Plano Diretor
Transmission Control Protocol
Tecnologia da Informação
Termo de Recebimento de Estação de Trabalho
Termo de Responsabilidade Individual
Wide Area Network
xv
SUMÁRIO
1
2
INTRODUÇÃO _________________________________________________ 17
1.1
Apresentação _______________________________________________ 17
1.2
Formulação da Situação Problema _______________________________ 19
REQUISITOS PRÉ-PESQUISA_____________________________________ 20
2.1 Objetivos ___________________________________________________ 20
2.1.1 Objetivo Geral _____________________________________________ 20
2.1.2 Objetivos Específicos ________________________________________ 20
2.2
Justificativa _________________________________________________ 20
2.3
Delimitação _________________________________________________ 20
2.4 Metodologia _________________________________________________ 21
2.4.1 Classificação da Pesquisa ____________________________________ 21
2.4.2 Universo __________________________________________________ 21
2.4.3 Análise e Tratamento dos Dados _______________________________ 21
3
4
REVISÃO DE LITERATURA E FUNDAMENTOS _______________________ 22
3.1
Informação _________________________________________________ 22
3.2
Sociedade da Informação ______________________________________ 22
3.3
Segurança da Informação ______________________________________ 23
3.4
Controles de Segurança _______________________________________ 27
GESTÃO DE SEGURANÇA DA INFORMAÇÃO NA MB _________________ 29
4.1
Segurança __________________________________________________ 29
4.2
Segurança da Informação na MB ________________________________ 29
4.3
RECIM_____________________________________________________ 30
4.4
Estrutura Física ______________________________________________ 31
4.5
Responsabilidades no gerenciamento ____________________________ 33
4.6
A Internet na MB _____________________________________________ 34
4.7
O Método de Acesso __________________________________________ 35
4.8
A Modernização da Infra-estrutura da RECIM e do acesso a INTERNET _ 35
4.9
Governança de TI na MB ______________________________________ 37
5 AVALIAÇÃO PRELIMINAR DE CONFORMIDADE DOS PROCEDIMENTOS DE
SI DA MB AOS CONTROLES GERENCIAIS DE SI ________________________ 39
5.1
Política de Segurança da Informação _____________________________ 39
xvi
5.1.1 O previsto na norma ABNT NBR ISO/IEC 17799:2005 ______________ 39
5.1.2 O previsto na MB ___________________________________________ 40
5.2 Organizando a Segurança da Informação __________________________ 42
5.2.2 O previsto na MB ___________________________________________ 43
5.2.2.1 Atribuições do Estado-Maior da Armada (EMA) ________________ 43
5.2.2.2 Atribuições da Diretoria Geral do Material da Marinha (DGMM) ____ 43
5.2.2.3 Atribuições da DCTIM ____________________________________ 43
5.2.2.4 Atribuições do Titular (Comandante ou Diretor) da OM___________ 45
5.2.2.5 Atribuições do OSID _____________________________________ 46
5.2.2.6 Atribuições do ADMIN ____________________________________ 47
5.2.2.7 Atribuições do Usuário ___________________________________ 48
5.3 Gestão de Riscos ____________________________________________ 49
5.3.2 O previsto na MB ___________________________________________ 51
5.3.2.1 Descrição da Rede ______________________________________ 51
5.3.2.2 Atividades de Rotina _____________________________________ 52
5.3.2.3 Incidentes _____________________________________________ 53
5.3.2.4 Vulnerabilidades e Riscos _________________________________ 53
6
7
DISCUSSÃO ___________________________________________________ 56
6.1
Política de Segurança da Informação _____________________________ 56
6.2
Organizando a Segurança da Informação__________________________ 58
6.3
Gestão de Riscos ____________________________________________ 60
CONSIDERAÇÕES FINAIS E TRABALHOS FUTUROS _________________ 62
REFERÊNCIAS ____________________________________________________ 65
APÊNDICE A ______________________________________________________ 67
APÊNDICE B ______________________________________________________ 68
APÊNDICE C ______________________________________________________ 70
APÊNDICE D ______________________________________________________ 71
APÊNDICE E ______________________________________________________ 72
17
1 INTRODUÇÃO
1.1 Apresentação
Desde a passagem da Economia Industrial para a Economia da Informação, empresas e
governos têm buscado se reestruturarem em função das novas possibilidades, vulnerabilidades
e ameaças impulsionadas pelos constantes avanços em Tecnologia de Informação (TI). A
partir da década de 90, inúmeras novidades surgiram, principalmente, nas áreas de automação,
informática e comunicações, influenciando de forma bastante intensa a sociedade moderna.
A história da humanidade comprova o fato do mundo estar em constante transformação
no cenário político, econômico e social. De modo dinâmico, os processos de mudança exigem
adaptações das pessoas, organizações e governos. Adaptar é uma mudança de paradigma, que
no caso da segurança da informação está sustentado fundamentalmente nos seguintes pilares:
tecnologia, informação, conhecimento e comportamento.
Na esfera dos Estados a necessidade de se proteger as informações é ainda maior pelas
conseqüências que a disseminação dessas pode causar. O Governo Brasileiro, por meio do
Gabinete de Segurança Institucional, vem envidando esforços para a implementação da
Segurança da Informação e Comunicações. Resultados desses esforços foram concretizados
por meio:
a) do relatório elaborado pelo Grupo de Trabalho constituído por membros do GSIPR e por outros funcionários da APF intitulado “metodologia para gestão de
segurança da informação para a administração pública federal”, de 30 de maio de
2006(1); e
b) da Instrução Normativa GSI nº 01, de 13 de junho de 2008(2)
O primeiro documento apresenta uma Metodologia de Gerenciamento de Segurança da
Informação a ser inserida na estratégia geral de Segurança da Informação da APF, e tem como
objetivo o fortalecimento da proteção das informações. Esse objetivo está sintetizado no
Decreto nº 3.505/00, de 13 de junho de 2000, que institui a Política de Segurança da
Informação nos órgãos e entidades da APF, em seu § 2 do artigo 2º(3) define Segurança da
Informação como:
“II - Segurança da Informação: proteção dos sistemas de informação contra a
negação de serviço a usuários autorizados, assim como contra a intrusão, e a
18
modificação desautorizada de dados ou informações, armazenados, em
processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos
humanos, da documentação e do material, das áreas e instalações das comunicações
e computacional, assim como as destinadas a prevenir, detectar, deter e documentar
eventuais ameaças a seu desenvolvimento”.
Assim, Segurança da Informação ultrapassa o uso da tecnologia da informação. De
acordo com Costa(4): “A Segurança da Informação envolve pessoas, processos e questões
institucionais, organizacionais e legais. A Segurança da Informação não deve ficar restrita à
área de informática. Pelo contrário, deve estar integrada a visão, a missão, ao negócio e as
metas institucionais, bem como ao plano estratégico de informática e às políticas da
organização concernentes à segurança em geral”.
A Segurança da Informação é um processo permanente que necessita de planejamento,
implementação, gerenciamento e atualização em função das demandas tecnológicas, legais e
organizacionais, além de outras existentes na APF. Na busca por um modelo de metodologia,
várias ações e programas estão sendo implementados pelo Governo como os Padrões Brasil
de Governo Eletrônico (e-Gov1), o Modelo de Acessibilidade de Governo Eletrônico (eMAG2), Padrões de Interoperabilidade do Governo (e-Ping3), a Infra-estrutura de Chaves
Públicas Brasileira (ICP-Brasil4). Contudo, para a implementação de uma Metodologia de
Gerenciamento de Segurança da Informação são necessários instrumentos normativos internos
que definam uma Política de Segurança da Informação adequada.
1
e-Gov são recomendações de boas práticas agrupadas em formato de cartilhas com o objetivo de
aprimorar a comunicação e o fornecimento de informações e serviços prestados por meios eletrônicos
pelos órgãos do Governo Federal. Disponível em: <http://www.governoeletronico.gov.br/acoes-eprojetos/padroes-brasil-e-gov>. Acesso em: 25 out. 2008.
2 e-MAG são recomendações a serem consideradas para que o processo de acessibilidade dos sítios
e portais do governo brasileiro seja conduzido de forma padronizada e de fácil implementação.
Disponível em: <http://www.governoeletronico.gov.br/acoes-e-projetos/e-MAG>. Acesso em: 25 out.
2008.
3 e-Ping é uma arquitetura que define um conjunto mínimo de premissas, políticas e especificações
técnicas que regulamentam a utilização da Tecnologia de Informação e Comunicação (TIC) no
governo federal, estabelecendo as condições de interação com os demais Poderes e esferas de
governo e com a sociedade em geral. Disponível em: <http://www.governoeletronico.gov.br/acoes-eprojetos/e-ping-padroes-de-interoperabilidade>. Acesso em: 25 out. 2008.
4 ICP-Brasil é uma Infra-Estrutura para garantir a autenticidade, a integridade e a validade jurídica de
documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem
certificados digitais, bem como a realização de transações eletrônicas seguras. Medida Provisória nº
2.200-2, de 24 de agosto de 2001. Disponível em:
<https://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htm>. Acesso em: 25 out. 2008.
19
Nesse contexto, a MB, ambiente no qual essa pesquisa é desenvolvida, está submetida
as suas próprias regras, estruturada por doutrinas, diretrizes e normas, que regem a segurança
da informação e que estão contidas no Apêndice A.
1.2 Formulação da Situação Problema
A norma ABNT. NBR ISO/IEC 17799:2005 - Tecnologia da Informação: código de
prática para a gestão da segurança da informação pode ser um instrumento no auxílio para a
implementação de tal metodologia, contudo, não existe uma obrigatoriedade para o
administrador público em cumprir esta norma, seja do ponto de vista legislativo, por meio de
um decreto ou lei; ou do ponto de vista normativo, como uma instrução normativa; ou ainda
uma determinação de um órgão como o TCU(1).
Contudo, a Instrução Normativa GSI nº 01, de 13 de junho de 2008(2), aprova
orientações para Gestão de Segurança da Informação e Comunicações que deverão ser
implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta.
No artigo quinto desta Instrução Normativa está prescrito que aos órgãos e entidades da
Administração Pública Federal, direta e indireta, competem aprovar a Política de Segurança
da Informação e Comunicações e as demais normas de afins(2).
No contexto da APF, mais especificamente na MB, que cada vez mais depende de
tecnologia, informação, conhecimento e comportamento, o problema de pesquisa pode ser
resumido com a seguinte pergunta: os instrumentos normativos internos da MB sobre
Segurança da Informação estão em conformidade com a norma ABNT NBR ISO/IEC 17999
(Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da
segurança da informação) (1)?
No capítulo seguinte, definido o problema de pesquisa, o mesmo está desmembrado em
outras perguntas que têm como objetivo verificar se os instrumentos normativos internos a
MB estão baseadas em uma estrutura de gestão de segurança formalmente instituída.
20
2 REQUISITOS PRÉ-PESQUISA
2.1 Objetivos
2.1.1 Objetivo Geral
Verificar se os instrumentos normativos internos da MB sobre Segurança da Informação
estão em conformidade com a norma ABNT NBR ISO/IEC 17999:2005(1).
2.1.2 Objetivos Específicos
a) efetuar uma revisão da documentação da MB relacionada com a Segurança da
Informação;
b) estabelecer os controles utilizados na verificação; e
c) realizar o processo de verificação de conformidade.
2.2 Justificativa
Considerando-se a Instrução Normativa GSI nº 01(2) que aprova orientações para
Gestão de Segurança da Informação e Comunicações que deverão ser implementadas pelos
órgãos e entidades da Administração Pública Federal, direta e indireta, a relevância deste
trabalho se justifica pela possibilidade do mesmo agregar conhecimento à:
a) GSI, ao se verificar se à MB:
I.
por meio de conformidade, possui documentação com uma estrutura de
SI, formalmente instituída; e
II.
está estruturada de formar a se adequar e manter atualizada frente às
constantes inovações de TI de modo a estar preparada para se contrapor
as possíveis ameaças no campo da SI; e
b) à MB em SI, motivado pelo interesse do autor com o tema e pelo vínculo que
possui com a instituição.
2.3 Delimitação
O presente estudo está delimitado aos instrumentos normativos internos da MB e aos
controles sobre Segurança da Informação. Os resultados deste estudo não permitem, assim,
generalidades acerca de outras organizações com relação à Segurança da Informação.
21
2.4 Metodologia
2.4.1 Classificação da Pesquisa
Para realizar esse trabalho, com base nos seus objetivos, foi adotada a pesquisa
exploratória. Os procedimentos técnicos adotados para realizar a investigação exploratória
foram: a análise bibliográfica para fundamentar teoricamente o trabalho e a análise
documental. A análise documental da pesquisa será constituída com base nos documentos
formalmente publicados no âmbito da MB e que estão relacionados no Apêndice A.
2.4.2 Universo
O universo de pesquisa é constituído pelos documentos constantes no Apêndice A.
A seleção desta instituição justifica-se pelo critério de acessibilidade.
2.4.3 Análise e Tratamento dos Dados
Os dados obtidos na pesquisa documental serão tratados de forma qualitativa, de forma
a interpretar e identificar nas ações e publicações da MB as funcionalidades de gestão da
Segurança da Informação. A metodologia deste trabalho foi desenvolvida e pautada no estudo
de todas as publicações da MB que tratam sobre Segurança da Informação e assuntos
correlatos. Todas essas publicações constam no Apêndice A.
No capítulo seguinte está descrita a revisão de literatura e fundamentos abordando
aspectos da "Informação", da "Sociedade da Informação", da "Segurança da Informação" e
dos "Controles de Segurança".
22
3 REVISÃO DE LITERATURA E FUNDAMENTOS
3.1 Informação
Antes de se tecer qualquer comentário sobre segurança da informação é indispensável
saber o que é informação. Essa definição é apresentada de várias formas na literatura
consultada.
Segundo Cassarro(5), a informação pode ser definida como “um fato, um evento, um
comunicado”. Para Turban(6), “informação é dado organizado ou processado, preciso e
fornecido no momento oportuno”. McGarry(7) afirma que a informação pode ser “a matériaprima da qual se extrai o conhecimento”. Já para Davenport(8), é um pouco mais abrangente,
pois relaciona a definição de informação com dado(7) e conhecimento(8), quais sejam:
a) dados: são observações sobre um determinado estado;
b) informações: são dados dotados de relevância que visa um uso; e
c) conhecimento: trata-se de um raciocínio mais elaborado da informação,
utilizando-se uma lógica, exclusiva de seres humanos.
Ao observar essas definições nota-se que existe uma correlação nos conceitos expostos,
que pode levar, em determinados momentos, a confusão entre os mesmos. Contudo, há uma
distinção entre dado, informação e conhecimento.
Segundo a norma ABNT NBR ISO/IEC 17999:2005(1): “a informação é um ativo que,
como qualquer outro ativo importante para os negócios, tem um valor para a organização e
conseqüentemente necessita ser adequadamente protegido”.
A adequação dessa proteção, há uns trinta anos atrás, era uma tarefa bem mais simples.
Com o advento da internet e dos modernos computadores, a segurança da informação tornouse mais complexa, pois a capacidade dessas máquinas em termos de banco de dados é enorme
e a interligação entre as mesmas por meio da internet esta a nível mundial.
3.2 Sociedade da Informação
A Sociedade da Informação introduziu novas formas de organização e produção em
escala global. A informação tornou-se uma necessidade, um ativo e um bem de consumo que
as pessoas não abrem mão. Pesquisar preços de determinada mercadoria, serviço ou produto
pela Internet ou ter acesso a informações financeiras como a variação das bolsas de valores
são necessidades corriqueiras, quase que primárias para o homem moderno.
23
O profissional que possui celular com cobertura 3G, “notebook” ou “laptop” com
acesso à internet e banda larga de alta velocidade está mais capacitado e leva vantagens sobre
àquele que obtém informações por meio de veículos de comunicações já tradicionais como
jornais e revista. Ou seja, a troca de informações, em uma velocidade antes inimaginável, tem
alterado os paradigmas da atual sociedade.
“Através das redes eletrônicas que interconectam as empresas em vários pontos do
planeta, trafega a principal matéria prima desse novo paradigma: a informação. A
capacidade de gerar, tratar e transmitir informação é a primeira etapa de uma cadeia
de produção que se completa com sua aplicação no processo de agregação de valor a
produtos e serviços. Nesse contexto, impõe-se, para empresas e trabalhadores, o
desafio de adquirir a competência necessária para transformar informação em
recurso econômico estratégico, ou seja, o conhecimento(9)”.
3.3 Segurança da Informação
“Segurança da informação é a busca da proteção da informação de vários tipos de
ameaças para garantira continuidade do negócio, minimizar o risco ao negócio, maximizar o
retorno sobre os investimentos e as oportunidades do negócio(1)”
Com a globalização, as ameaças e os conseqüentes riscos para as inumeráveis
quantidades de negócios são desafio para a gestão da segurança da informação. Qualquer tipo
de falha ou descuido em uma proteção sobre uma informação pode acarretar prejuízos
imensos às pessoas físicas e jurídicas. Informações estratégicas para uma empresa podem
causar grandes prejuízos ao serem repassadas para empresas concorrentes ou para pessoas mal
intencionadas. Como exemplo, o acesso ao banco de dados de empresas de cartão de crédito
poderiam trazer prejuízos com cifras astronômicas para a empresa e para os clientes
decorrente do uso dessas informações.
A segurança da informação é diretamente proporcional aos fatores comportamentais de
quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca. Pessoas mal intencionadas
que têm o objetivo de roubar, aniquilar, modificar ou introduzir informações podem produzir
grandes danos. Confidencialidade, integridade, disponibilidade e autenticidade representam os
principais conceitos que, atualmente, orientam a análise, o planejamento e a implementação
da segurança para um determinado grupo de informações que se deseja proteger.
Outros conceitos como legitimidade e autenticidade estão sendo apresentadas na medida
em que o número de transações eletrônicas (públicas e privadas) se desenvolve.
De acordo com a Instrução Normativa GSI Nº 01(2), os conceitos básicos podem ser
explicados conforme abaixo:
a) confidencialidade - propriedade de que a informação não esteja disponível ou
revelada à pessoa física, sistema, órgão ou entidade não autorizado e credenciado;
24
b) integridade - propriedade de que a informação não foi modificada ou destruída de
maneira não autorizada ou acidental;
c) disponibilidade - propriedade de que a informação esteja acessível e utilizável sob
demanda por uma pessoa física ou determinado sistema, órgão ou entidade; e
d) autenticidade - propriedade de que a informação foi produzida, expedida,
modificada ou destruída por uma determinada pessoa física, ou por um
determinado sistema, órgão ou entidade.
“A segurança da informação busca proteger a informação dos riscos a que está exposta
para garantir a confidencialidade, a integridade e a disponibilidade”(1).
De acordo com Bauer(10),: “A informação, os processos de apoio, os sistemas e as redes
são importantes ativos para os negócios. A informação tem tanto ou mais valor que qualquer
outro bem da organização. Confidencialidade, integridade, disponibilidade e autenticidade da
informação podem ser essenciais para preservar a competitividade, o faturamento, a
lucratividade, o atendimento aos requisitos legais e à imagem que uma organização tem no
mercado”.
De acordo com Peltier(11), as organizações procuram segurança para assegurar a
integridade, confidencialidade e disponibilidade da informação e garantir a perenidade do
negócio, entendendo que a informação é um ativo de propriedade da organização e que
necessita de apropriados níveis de controle. Um programa de segurança da informação
necessita de políticas, padrões e procedimentos.
Qualquer situação que impeça ativos e processos de realizarem suas atividades,
potencialmente, destroem a capacidade da organização de obter sucesso. Partindo desta
perspectiva, assegurar que os ativos e processos permaneçam produtivos é o benefício real e
foco dos investimentos da organização em segurança. “A segurança da informação está
interligada à gestão de riscos, pois a avaliação de riscos permite sugerir os controles mínimos,
os documentos e o plano de segurança para os sistemas de informação”(12).
De acordo com Allemand et al(13), que faz referência a pesquisa conjunta do
CSI - Computer Security Institute – e do FBI - Federal Bureau of Investigation – denominada
“2006 CSI/FBI Computer Crime and Security Survey”, os quatros principais tipos de
incidentes de segurança ocorridos em 616 organizações nos EUA, no ano de 2006, foram:
vírus (65%), roubo de notebooks (47%), acesso não autorizado por empregados (42%),
acessos não autorizados por terceiros (32%).
25
Segundo a mesma pesquisa5, estes quatro tipos de incidente foram responsáveis por
quase 75% das perdas financeiras reportadas pelas organizações pesquisadas. O restante dos
ataques citado na legenda é composto de: ataques de negação de serviço (25%), invasões de
sistemas (15%), uso não autorizado de redes sem fio (14%), roubo de informações (9%),
fraudes financeiras (9%), fraude nas telecomunicações (8%), uso incorreto de aplicações web
públicas (8%), descaracterização de páginas web (6%) e sabotagem (3%).
Esses ataques têm suas origens motivadas pelos mais diversos motivos. As causas mais
comuns são vingança (principalmente realizadas por empregados), vantagens financeiras,
fama e auto-estima.
Figura 1: Tipos de ataques ou abusos detectados nos últimos 12 meses por
percentual de entrevistados. Pesquisa CSI/FBI 2006
Identificado os tipos e potenciais ataques, é necessário que as organizações identifiquem
os recursos físicos e lógicos a serem protegidos e decidam o nível de segurança a ser
estabelecido a cada um. Os custos das conseqüências dos ataques e das implementações de
segurança para combatê-los devem ser quantificados e comparados de modo a se decidir qual
a ação a ser tomada (aceitar, mitigar ou rejeitar os riscos).
5
Disponível em: <http://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2006.pdf>. Acesso em: 27 out. 2008.
26
Para se minimizar os riscos devemos aumentar o nível de segurança desejado que possa
ser consubstanciado pela definição de uma "POLÍTICA DE SEGURANÇA" a ser seguida por
uma organização, de modo a garantir que uma vez estabelecida, permita o alcance e a
manutenção do nível desejado de segurança. Segundo Peltier(11), a definição de uma política
de segurança deve se situar no contexto dos riscos de negócio da organização.
De acordo com a norma ABNT NBR ISO/IEC 17799:2005(1), a política de segurança
tem por objetivo “prover uma orientação e apoio da direção para a segurança da informação
de acordo com os requisitos do negócio e com as leis e regulamentações relevantes”. A
política de segurança estabelecida deve ser clara; alinhada com os objetivos do negócio;
aprovada pela direção; publicada e comunicada para todos os funcionários e partes externas
relevantes; e convém conter, dentre outras, as seguintes declarações:
a) definição de segurança da informação, as metas globais, escopo e importância da
segurança como mecanismo que habilita o compartilhamento de informações;
b) declaração do comprometimento da direção, apoiando as metas e princípios da
segurança, alinhado com os objetivos estratégicos do negócio;
c) estrutura para estabelecer os objetivos de controle e os controles, incluindo a análise,
avaliação e gerenciamento de riscos.
d) breve explanação das políticas, princípios, normas e requisitos de conformidade da
segurança da informação especifico para a organização;
e) definição de responsabilidades gerais e específicas na gestão da segurança da
informação, incluindo o registro de incidentes de segurança; e
f) referências à documentação que possam apoiar a política.
Segundo a RFC6 2196, a política de segurança é uma declaração formal das regras pelas
quais as pessoas que tenham acesso a ativos de uma organização da tecnologia e da
informação devem respeitar7.
A gestão da segurança da informação deve ser guiada pela política de segurança da
informação. De acordo com Krutz(14), procedimentos, são ações com a finalidade de detalhar
os passos para executar uma rotina especifica, de acordo com a política estabelecida.
6
RFC (Requests for Comments) são usadas pela comunidade Acadêmica e científica na definição de novos
padrões para Rede. Disponível em: <http://webmasters.neting.com/msg14433.html>. Acesso em: 27 out. 2008.
7
Disponível em: <http://translate.google.com.br/translate?hl=pt-BR&sl=en&u=http://www.isi.edu/innotes/rfc2196.txt&sa=X&oi=translate&resnum=1&ct=result&prev=/search%3Fq%3DThe%2BSite%2BSecurity%
2BHandbook)%26hl%3Dpt-BR%26rlz%3D1T4GGLL_pt-BR>. Acesso em: 27 out. 2008.
27
3.4 Controles de Segurança
Segundo o relatório final do estudo realizado pelo Grupo de Trabalho (GT) Metodologia
de Gestão de Segurança da Informação para a APF(15), conduzido pelo GSI-PR, que também
seguem as normas ABNT NBR ISO/IEC 17799:2005(1), os controles adotados para servir
como referência são os seguintes:
a) POLÍTICA DE SEGURANÇA: Documento fundamental para o estabelecimento da
segurança na organização que tem como objetivos principais fornecer o
direcionamento e o suporte administrativo necessário para a Segurança da
Informação.
b) ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO:
I. Infra-estrutura da Segurança da Informação: Definição de uma área da
organização como responsável pela implantação das determinações da Política
de Segurança da Informação e de seus desdobramentos, bem como pelo
gerenciamento da Segurança da Informação na organização; e
II. Partes Externas: Classificação dos riscos relacionados com partes externas à
organização relacionados à segurança dos recursos de tratamento de
informação que são acessados, processados, comunicados ou gerenciados por
partes externas.
c) GESTÃO DE RISCOS: Processo de monitoramento dos riscos a que a informação a
ser protegida está submetida de acordo com o seu valor estimado.
d) GESTÃO DE ATIVOS: Inventário dos principais ativos da organização e atribuição
de responsabilidades aos seus gestores por qualquer quebra de segurança provocada
por ação ou omissão decorrente de ato ilícito.
e) SEGURANÇA EM RECURSOS HUMANOS: Garantia de que os funcionários,
fornecedores e terceiros entendem as suas responsabilidades e têm conhecimento
das normas técnicas sobre procedimentos e medidas de segurança.
f) SEGURANÇA FÍSICA E DO AMBIENTE: Conjunto de medidas voltadas para a
prevenção e a obstrução das ações ou ocorrências adversas de qualquer natureza que
possam comprometer as áreas e as instalações da organização onde sejam tratadas
informações classificadas.
g) GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES: Planejamento e
orientação de uma área estratégica e competente de governo, de maneira a dar o
28
suporte técnico necessário aos órgãos para que estes não fiquem completamente
dependentes de serviços terceirizados.
h) CONTROLE DE ACESSOS: Controle de acesso à informação através de credencial
de segurança e demonstração da necessidade de conhecer.
i) AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS DE
INFORMAÇÃO: Definição de uma metodologia para a identificação e a
especificação dos requisitos de segurança antes do desenvolvimento e/ou
implementação de sistemas de informação. Na metodologia devem estar
contemplados: sistemas operacionais, infra-estrutura, aplicações e serviços
desenvolvidos inclusive por usuários internos. Os acordos baseados em requisitos de
segurança devem ser explicitamente formulados com os fornecedores, quando da
aquisição e desenvolvimento de sistemas pela APF.
j) GESTÃO DE INCIDENTES E SEGURANÇA DA INFORMAÇÃO: Conjunto de
processos destinados a assegurar que fragilidades e eventos de segurança da
informação, associados com os sistemas de informação, sejam comunicados,
permitindo a tomada de ação corretiva em tempo hábil.
k) GESTÃO DA CONTINUIDADE DE NEGÓCIO: Mecanismo utilizado para
impedir ou evitar a interrupção das atividades do negócio e proteger os processos
críticos contra efeitos de falhas ou desastres significativos e assegurar a sua
retomada em tempo hábil.
l) CONFORMIDADE: Processo no qual é verificada a conformidade entre as ações de
segurança implementadas e todos os requisitos de segurança específicos do
ambiente independentemente do tipo de norma em que foi estabelecido.
29
4 GESTÃO DE SEGURANÇA DA INFORMAÇÃO NA MB
4.1 Segurança
Em 10 de junho de 1999 o Estado-Maior das Forças Armadas foi extinto e o Ministério
da Defesa foi criado, conseqüentemente, os ministérios da Marinha, Exército e Aeronáutica
foram transformados em Comandos. A MB passou a ser designada por Comando da Marinha.
A MB tem como missão: "Preparar e empregar o Poder Naval, a fim de contribuir para a
defesa da Pátria”8. Na sua missão podemos destacar a palavra “defesa” que, segundo
Michaelis(16), significa “proteção contra um ataque ou ofensa”.
O conceito de defesa está intimamente relacionado ao conceito de segurança, que,
também segundo o Michaelis(16), significa “certeza, confiança ou firmeza”, pois para se ter
proteção contra um ataque ou ofensa é necessário o pressuposto de ser ter certeza, confiança
ou firmeza.
A missão da MB, agregada à sua tradição de salvaguarda do material e da vida humana
(com operações de resgate, condução de exercícios e manuseio de equipamentos e
armamentos caros e perigosos) gerou uma cultura em segurança. A conectividade entre os
componentes da MB, capazes de partilhar informação e trabalhar em colaboração (operações
em rede), facilitou a estrapolação dessa cultura em segurança para outras áreas de atuação. Na
área de SIC, não poderia ser diferente.
4.2 Segurança da Informação na MB
A utilização cada vez mais acentuada de informações sendo transferidas e armazenadas
digitalmente, assim como a evolução tecnológica dos sistemas envolvidos, acarretaram na
necessidade da MB possuir instrumentos que contenham diretrizes voltadas a auxiliar as
Organizações Militares (OM) no planejamento, definição e implementação de mecanismos de
segurança (normas, procedimentos, padrões, equipamentos, dispositivos e controles) no trato
da informação digital, orientando as atividades que visam garantir a autenticidade, a
integridade, a disponibilidade e o sigilo das informações armazenadas e trafegadas por meio
magnético, eletrônico ou digital.
8
Disponível em: <https://www.mar.mil.br/menu_v/instituicao/missao_visao_mb.htm>. Acesso em: 27 out.
2008.
30
Na MB a SIC tem outro nome. Ela é chamada de “Segurança das Informações Digitais”
(SID) e esta possui o mesmo conceito contido no Decreto n.º 3.505, de 13 de junho de 2000(3),
que institui a Política de Segurança da Informação nos órgãos e entidades da APF, e que está
contido na DGMM 0520(17), qual seja:
“O conceito de Segurança das Informações Digitais (SID) está associado às ações de
proteção dos sistemas de informação digital contra a negação de serviços a usuários
autorizados, assim como contra a interceptação, a intrusão e a modificação
desautorizada de dados (ou informações digitais) armazenados, em processamento
ou em trânsito em meio eletrônico ou digital. A SID também deve prevenir detectar,
deter e documentar eventuais ameaças ou ataques”
Na MB, a SID é um dos desdobramentos da Segurança Orgânica (SegOrg), tendo em
vista que o conhecimento de interesse da Marinha ou do País que se busca proteger está
vinculado não só à informática, mas aos recursos humanos, à documentação, ao material, às
comunicações e às áreas físicas relacionados à sua produção, manuseio, trâmite e
arquivamento.
As Normas para a SID visam garantir um nível aceitável de segurança em termos do
risco calculado, aplicando-se a:
a) todas as atividades que envolvam algum trâmite, processamento ou arquivamento de
informação em meio eletrônico nas redes locais da MB;
b) todos os recursos de informática e os respectivos sistemas de informações digitais;
c) todo usuário dos serviços disponibilizados pela rede local; e
d) contratos efetuados pela MB com empresas privadas, cujo escopo envolva algum
tratamento de informações em meio eletrônico ou integradas por meio de uma rede
local.
Como a conceito de Segurança da Informação está associado a sistemas de informação
digital (ações de proteções - a SID é um dos desdobramentos da SegOrg na MB) é
conveniente que se comente um pouco sobre duas estruturas desse sistema, quais sejam, a sua
intranet que tem o nome de Rede de Comunicações Integradas da MB (RECIM) e a internet
na MB, por serem “portas de entradas” de possíveis ameaças externas e internas.
4.3 RECIM
A RECIM tem como propósito a interconexão de dispositivos eletrônicos,
possibilitando a comunicação entre usuários (voz, dados ou voz e dados), obedecendo aos
seguintes itens: confiabilidade, rapidez nas respostas às solicitações, disponibilidade,
eficiência e custo.
31
Ela pode ser definida como a infra-estrutura para uma rede de grande área privada,
composta por redes metropolitanas Distritais, tendendo a ser independente das prestadoras de
serviço de telecomunicações e fundamentada em suporte de comunicação de alta qualidade.
Utiliza-se de uma CETELMA (Central Telefônica da Marinha) e/ou equipamento de
conectividade que dispõem de dispositivos com capacidade de manipulação de voz e dados,
para efetuar a integração das redes que fazem parte de um Distrito, Comando ou Complexo
Naval.
Pode ser estruturada em três áreas de atuação:
a) Área restrita à OM:
A primeira área de atuação restringe-se, basicamente, a uma OM. Cada OM pode ter ao
menos uma rede de dados local que, em conjunto com ramais telefônicos ou centrais
telefônicas ligadas a uma CETELMA, são integradas à RECIM. A responsabilidade
administrativa e técnica de suas redes ficam a critério da própria OM.
b) Área dos Distritos, Comandos ou Complexos Navais:
A segunda área de atuação refere-se aos Distritos, Comandos ou Complexos Navais
(exemplo: Complexo de Mocanguê). Cada um desses elementos constitui uma rede
metropolitana integrada pelas redes locais das OM situadas em sua área de responsabilidade.
A responsabilidade administrativa e técnica dessas redes ficam a cargo dos respectivos
Distritos, Comandos ou Complexos Navais.
c) Integração das redes metropolitanas:
A terceira área de atuação abrange a integração de todas as redes metropolitanas
formando uma rede de grande área privada. Essa WAN (Wide Area Network) possibilitará a
integração de todas as sub-redes da Marinha. Caberá à DCTIM (Diretoria de Comunicações e
Tecnologia da Informação da Marinha) a responsabilidade administrativa, bem como, a
responsabilidade técnica.
4.4 Estrutura Física
Em sua estrutura física, a RECIM é dividida em três grandes redes, estando, atualmente,
seu gerenciamento diferenciado em REDE DE TELEFONIA - RETELMA (voz), REDE DE
PACOTES (dados) e REDE DE INTEGRADORES (voz e dados).
A figura 2 apresenta a configuração do "backbone" principal da RECIM, interligando
todas as Redes Metropolitanas de todos os Distritos Navais (DN), Centro Tecnológico da
Marinha em São Paulo (CTMSP) e a Base Aeronaval de São Pedro da Aldeia (BAeNSPA).
32
É um suporte de serviços de comunicação de voz e dados integrados conectados aos
transceptores de comunicação com o satélite.
3º DN
4º DN
CNAO
2º DN
5º DN
1º DN
CTEMSP
6º DN
Antena DATASAT PLUS
7º DN
BAeNSPA
1º DN
8º
Figura 2: Backbone Principal da RECIM
A figura 3 apresenta uma representação simbólica da Rede Metropolitana (de
Comunicações Integradas) do 1º DN. Nesta representação estão simbolizadas as redes de voz
e dados. As outras Redes Metropolitanas se assemelham, em menor escala e complexidade, à
apresentada.
Distritos Navais,
Comandos Navais,
BAeNSPA e CTMSP
CMM
Complexo Av.
Brasil
DHN
Antena DATASAT
PLUS
CIAW
Complexo
Bananal
Complexo Ribeira
Complexo
Lucas
Complexo
Mocangüê
Ed. Alte. Tamandaré
Complexo Ilha
das Flores
Ed. Br. de Ladário
Complexo Ilha
das Cobras
CMASM
Diretoria de
Finanças
da Marinha
Complexo do 1º DN
EGN
EN
Figura 3: Rede Metropolitana do 1º DN
33
4.5 Responsabilidades no gerenciamento
As responsabilidades de gerenciamento são distribuídas da seguinte forma:
a) Cada OM, constituindo uma rede local, efetua o seu próprio gerenciamento;
b) Cada Distrito, Comando e Complexo Naval, constituindo uma rede metropolitana,
efetuam o gerenciamento da rede à qual estarão conectadas as redes locais das OM
localizadas em sua área; e
c) A DCTIM efetua o gerenciamento da rede à qual estão conectadas as redes
metropolitanas, conduzindo, ainda, um acompanhamento passivo de todas as
atividades do gerenciamento, inclusive descendo ao nível da OM, podendo intervir
caso julgue necessário ou mediante solicitação. Devido a complexidade da RECIM,
os problemas de uma rede local podem afetar um grande conjunto de OM, além de
tornar difícil a identificação do seu causador.
O gerenciamento integrado de voz e dados são efetuados de forma centralizada, na
DCTIM, onde são monitorados todos os equipamentos multiplexadores-integradores
distribuídos pelos Distritos, Comandos e Complexos Navais.
Em cada Distrito Naval existe um conjunto de equipamentos que constituem o ponto de
interligação entre os DN, em Rede de Grande Área, por intermédio, principalmente, de
Comunicações por Satélite (serviço DATASAT PLUS da EMBRATEL), conforme demonstra
a figura seguinte:
IDNX
Antena DATASAT
PLUS
CETELMA
ramais locais
Roteador
rede local
Figura 4: Conjunto de Equipamentos que constituem o Ponto de Interligação
entre os DN
34
As Redes Metropolitanas são igualmente constituídas, obrigando assim na existência de
um Supervisor Operacional de Área (SOA), surgindo o que convencionamos chamar de
“Complexos”, ou seja, um local composto, normalmente, por uma quantidade razoável de
OM, interligadas entre si por meios físicos (fibra óptica ou par metálico) e com um único
ponto de interligação com o restante da RECIM. Isto pode ser bem visualizado na figura 5 que
apresenta a Rede Metropolitana do 1º DN e os vários Complexos existentes.
A figura seguinte mostra, à semelhança do mostrado na Rede de Grande Área, um
conjunto de equipamentos por onde o complexo se interliga a outros dentro da Área
Metropolitana.
Ramais locais
Antena DATASAT
PLUS
CETELMA
CETELMA/
LIM Remoto
Roteador
Ramais locais
Rede local
Roteador
Rede local
Figura 5: Conjunto de Equipamentos por onde um Complexo se interliga a
outros dentro da Área Metropolitana
4.6 A Internet na MB
Na MB o acesso à INTERNET teve, inicialmente, como objetivo predominantemente as
atividades voltadas à pesquisa científica e de natureza acadêmica de nível superior. Por esse
motivo houve uma seleção das OM, pela Comissão de Ciência e Tecnologia da Marinha
(COMCITEM), que teriam esse acesso conforme abaixo discriminado:
a) Centro de Análises e Sistemas Navais;
b) Centro de Apoio a Sistemas Operativos;
c) Diretoria de Sistemas de Armas da Marinha;
d) Diretoria de Telecomunicações da Marinha;
e) Diretoria de Engenharia Naval;
f) Centro Tecnológico da Marinha em São Paulo;
g) Instituto de Pesquisas da Marinha;
35
h) Comando do Material de Fuzileiros Navais;
i) Comando de Pessoal de Fuzileiros Navais;
j) Diretoria de Hidrografia e Navegação;
k) Instituto de Estudos do Mar Almirante Paulo Moreira;
l) Escola Naval;
m) Hospital Naval Marcílio Dias; e
n) Escola de Guerra Naval.
Posteriormente, tendo a RECIM atingido dimensões nacionais e em decorrência da
necessidade de tráfego de informações de naturezas diversas, foi realizado contrato junto à
Embratel, para interligação da RECIM à INTERNET, através da rede de dados daquela
empresa.
4.7 O Método de Acesso
Inicialmente a Marinha estava conectada ao segmento INTERNET da Embratel por
meio de um ponto da RECIM localizado na DCTIM. Desse modo, todas as OM interligadas à
RECIM têm condições técnicas de ter acesso à INTERNET, desde que sejam autorizadas a
fazê-lo. Todo o acesso à INTERNET, partindo de estações interligadas à rede de dados da
RECIM, era realizado através dessa conexão, não sendo autorizada nenhuma outra
interligação à INTERNET em qualquer ponto da RECIM.
A INTRANET está disponível para as diversas OM, cujas redes locais estejam
interligadas ao "backbone" principal da RECIM. O protocolo de rede utilizado é o "TCP/IP"
(Transmission Control Protocol / Internet Protocol). A consolidação da RECIM, no seu
segmento de comunicação de dados, juntamente com a experiência adquirida com a
INTERNET, permitiram a introdução na MB do conceito de INTRANET.
Atualmente essa estrutura está em evolução e é apresentada com mais detalhes no item
seguinte.
4.8 A Modernização da Infra-estrutura da RECIM e do acesso a
INTERNET
Conforme o BONO Especial nº 504/2008(18), a DCTIM, por meio de seus sistemas de
gerenciamento, tem constatado um significativo aumento na demanda, de todas as OM, por
serviços de TI (Tecnologia da Informação) disponibilizados na RECIM (Intranet) e na
Internet.
36
Esse indiscutível fato, quando somado à disseminação de sistemas/serviços de TI,
ofertados de forma descentralizada no âmbito da MB, está contribuindo para:
a) a quase total saturação dos principais enlaces da RECIM ("backbone" e Internet);
b) o surgimento de sérios problemas de desempenho e de segurança no acesso às
diversas aplicações; e
c) a baixa disponibilidade nos dispositivos de rede e, principalmente, para possíveis
comprometimentos no cumprimento das tarefas da imensa maioria das OM que
atualmente dependem de TI para execução das mais simples atividades.
Nesse contexto, a DCTIM, alinhando-se com as melhores práticas de governança
corporativa, elaborou o seguinte plano integrado de ações e investimentos para solucionar, em
curto e médio prazos, os diversos aspectos técnicos do problema:
a) acesso à Internet:
I. aumento da banda do enlace de Internet em 400% para atender, a curto e médio
prazo, à atual demanda reprimida e às futuras necessidades;
II. projeto de Internet para os Distritos Navais, visando atender com segurança às
demandas específicas de Internet em cada DN, sem sobrecarregar os demais
enlaces da RECIM, conforme os sucessos já obtidos nas áreas dos 7ºDN e
3ºDN. A ativação em todos os DN está para ocorrerendo ao longo do 2°
semestre de 2008; e
III. Conclusão da ativação de acesso à Internet, exclusivo para as atividades
operativas de SISNC2 (Sistema Naval de Comando e Controle).
b) Acesso à Intranet:
I. realização de pregão eletrônico (registro de preços), incluindo os pontos do
"backbone" principal e todas as OM que atualmente contratam enlaces de
firmas terceirizadas. No "backbone" principal (DN, BAeNSPA e CTMSP),
planeja-se o emprego de uma tecnologia mais moderna (MPLS - multi protocol
label swtiching) e aumento na banda de até 400%, a ser custeado integralmente
pela DCTIM. A ativação do novo "backbone" ocorrerá em JAN de 2009; e
II. cada OM, fora do backbone principal, terá autonomia para escolha da banda
que melhor lhe atender, conforme sua exclusiva necessidade e como forma de
solucionar eventuais problemas de congestionamento no acesso à RECIM.
Mesmo as OM que utilizam enlaces corporativos (de propriedade da MB)
poderão aderir ao registro de preços, como forma de contingência; e
c) Organização da oferta de serviços de TI na RECIM:
37
I. implementação do Centro de Dados da MB (CDMB), cujo projeto já foi
concluído e está sendo apreciado pela Comissão Técnica em Tecnologia da
Informação (COTEC-TI) e pelo Conselho de TI na MB (COTIM). O CDMB,
além de outras aplicações, possibilitará a concentração em um único local, no
caso o Centro de Tecnologia e Informação da Marinha (CTIM), da oferta de
serviços corporativos de TI, de forma a garantir desempenho, disponibilidade,
segurança, eficiência e economicidade da aplicação dos recursos, e também
evitará a dispersão de esforços no suporte e na manutenção dos serviços
ofertados. A ativação do Centro de Dados e a descentralização dos serviços
poderão ocorrer no 1° semestre de 2009; e
II. concentração, no CTIM, das atividades de suporte, de forma a melhorar o
atendimento aos usuários da RECIM e otimizar a resposta aos incidentes de TI.
4.9 Governança de TI na MB
A segurança da informação tem como um de seus alicerces a TI. Existem outros como o
comportamento humano que é a origem das maiores falhas ocorridas na segurança da
informação, mas é na área da TI onde ocorre um grande número de mudanças e inovações.
O mundo globalizado vem sofrendo grandes modificações comportamentais,
notadamente no que tange às relações do emprego da TI na vida das organizações. A
permeabilidade da TI em todos os níveis organizacionais estabeleceu um novo paradigma: o
da necessidade de alinhamento da TI com os objetivos estratégicos das corporações. O baixo
custo dos ativos de TI, atrelado à busca por processos mais eficientes e com menor utilização
de mão-de-obra, culminou com uma dependência crescente da tecnologia da informação no
cotidiano das Organizações.
A MB não está alheia a esse conjunto de mudanças. Conforme o BONO Especial nº
748(19), a Alta Administração Naval determinou a criação de um Grupo de Trabalho em
Tecnologia da Informação (GT-TI), contando com a participação de representantes de todos
os Órgãos de Direção Setorial (ODS), para elaborar um Estudo de Estado-Maior (EEM)
detalhado, no qual foi revisada a Estrutura de Governança de TI na MB, definindo as
atribuições e responsabilidades dos diversos atores, de forma a adaptar essa estrutura, no que
for pertinente, ao adequado alinhamento com os respectivos objetivos estratégicos.
Diversos assuntos foram estudados no âmbito do GT-TI, desde a capacitação técnica de
pessoal especialista até a revisão da relação de subordinação de órgãos responsáveis por
38
atividades de TI. Os principais pontos que a solução adotada prevê podem ser assim
destacados:
a) criação do COTIM, assessorado pela COTEC-TI. O COTIM é presidido pelo Chefe
do Estado-Maior da Armada (CEMA - é o segundo na Cadeia de Comando na
hierárquica da MB), que passa a ser a Autoridade de TI da MB, deliberando sobre
os importantes temas relativos a TI, após parecer técnico elaborado pela COTEC-TI.
Essa configuração é coerente com as melhores práticas de Governança de TI na
atualidade, as quais são unânimes em evidenciar a necessidade de participação dos
segmentos voltados para o “negócio” da empresa – no caso da MB, a manutenção
do aprestamento do Poder Naval;
b) centralização das atividades de TI na DCTIM:
c) incremento da capacitação técnica do pessoal de TI, inclusive em áreas específicas,
como Gerência de Projetos, diminuindo a dependência de empresas e instituições
externas à Marinha;
d) emprego, de modo racional, do pessoal de TI dentro de suas especialidades, de
forma a reduzir o atual quadro de déficit de recursos humanos qualificados nas OM;
e) emprego de mecanismos da Sistemática do Plano Diretor (SPD) que permitam um
maior controle de gastos com TI, de acordo com prioridades dadas pelo COTIM; e
f) normatização e estabelecimento de padrões técnicos para diversas atividades, tais
como: processos de desenvolvimento e interoperabilidade de Sistemas Digitais
(SD), guerra cibernética, auditoria de sistemas, bem como adesão a práticas
consagradas de Governança de TI para as organizações.
Essas mudanças direcionam a Marinha para uma nova mentalidade de uso da TI como
ferramenta norteadora dos objetivos organizacionais.
No próximo capítulo está descrita uma avaliação preliminar de conformidade dos
procedimentos de SI da MB aos controles gerenciais de SI.
39
5 AVALIAÇÃO PRELIMINAR DE CONFORMIDADE DOS
PROCEDIMENTOS DE SI DA MB AOS CONTROLES
GERENCIAIS DE SI
A SI é atingida quando da execução de uma série de controles, que podem ser políticas,
práticas, procedimentos, estruturas organizacionais, “hardwares” e “softwares”. Nesta etapa,
será confrontado se três controles, dos doze adotados para servir como referência (conforme o
contido no item 3.4 deste trabalho), são levados em consideração pela MB para o
estabelecimento do seu SGSI. No Capítulo seis será feito uma discussão do estudo
comparativo de ambos.
Desse modo serão apresentados e discutidos os seguintes controles:
a) Política de Segurança da Informação;
b) Organizando a Segurança da Informação; e
c) Gestão de Riscos.
5.1 Política de Segurança da Informação
5.1.1 O previsto na norma ABNT NBR ISO/IEC 17799:2005
De acordo com a norma ABNT NBR ISO/IEC 17799:2005(1), o objetivo da política de
segurança é prover orientação e apoio da direção para a segurança da informação de acordo
com os requisitos do negócio e com as leis e regulamentações importantes. Deve declarar o
comprometimento da alta direção e o direcionamento para gerir a segurança da informação,
além de ser publicado e comunicado a todos os empregados. Deve conter, dentre outras, as
seguintes declarações:
a) conceituação da segurança da informação, as metas globais, escopo e importância
da segurança como mecanismo que habilita o compartilhamento de informações;
b) declaração do comprometimento da direção, apoiando as metas e princípios da
segurança, alinhado com os objetivos estratégicos do negócio;
c) estrutura para estabelecer os objetivos de controle e os controles, incluindo a
análise, avaliação e gerenciamento de riscos.
d) breve explanação das políticas, princípios, normas e requisitos de conformidade da
segurança da informação especifico para a organização;
e) definição de responsabilidades gerais e específicas na gestão da segurança da
informação, incluindo o registro de incidentes de segurança; e
40
f) referências à documentação que possam apoiar a política.
Além das declarações acima é importante que a política de segurança da informação
tenha um conteúdo relevante, compreensível e que todos dentro da organização tenham acesso
a ela. A política da segurança da informação também pode ser uma parte de uma política geral
e deve ser elaborada de modo a prever repostas a possíveis mudanças no ambiente
organizacional, nas circunstâncias do negócio, nas condições legais, ou no ambiente técnico.
É interessante que seja revisada a intervalos pré-determinados ou quando de alguma mudança
significativa de modo a se manter sempre atualizada.
É conveniente que a política de segurança da informação tenha um responsável e que
tenha participado pelo seu desenvolvimento, análise crítica e avaliação, principalmente a
avaliação de oportunidades. Essa análise crítica da política de segurança da informação deve
ter uma análise crítica por parte direção da organização.
5.1.2 O previsto na MB
A ISID de uma OM constitui um documento para gerenciamento de segurança da
informação digital e é voltada às ações de planejamento. Seu objetivo é definir
procedimentos que garantam os requisitos básicos de SIDRL. A ISID deve ser simples,
objetiva, de fácil compreensão e aplicação e deve possuir grau de sigilo ostensivo, para que
todos os usuários da rede local tenham acesso e pleno conhecimento das ações de
planejamento e procedimentos nela contidos.
Para sua elaboração, as seguintes regras básicas são seguidas:
a) a ISID deve ser formalizada internamente por cada OM em uma Ordem Interna;
b) todo o pessoal da OM, usuários ou não de recursos ou serviços disponibilizados pela
rede local, devem conhecer a ISID; e
c) as regras estabelecidas na ISID aplicam-se, indistintamente, a todo o pessoal na OM.
A elaboração e a revisão periódica da ISID são responsabilidades do OSID (Oficial de
Segurança das Informações Digitais) da OM. O intervalo entre revisões da ISID deverá estar
formalizado no seu próprio corpo, não devendo ser superior a 2 (dois) anos. A ISID deverá ser
voltada ao pleno gerenciamento da SIDRL e considerar a operação segura da rede local como
um fator crítico ao pleno funcionamento da OM, devendo possuir, no mínimo, os seguintes
itens:
a) o detalhamento das responsabilidades do OSID e suas particularidades para a OM;
b) as responsabilidades individuais sobre as informações digitais sigilosas integradas
na rede local;
41
c) procedimentos para identificação dos recursos de informática que necessitam de
proteção, de acordo com o respectivo grau de sigilo da informação digital por eles
processada ou armazenada;
d) os níveis de importância de cada um dos Recursos Computacionais Críticos (RCC)
ou grupos similares de RCC da OM;
e) os requisitos mínimos de proteção dos RCC da OM;
f) a relação dos documentos de SIDRL adotados pela OM, inclusive os documentos
internos, indicando seus respectivos responsáveis, objetivos, data da última revisão,
periodicidade de revisão e graus de sigilo, quando aplicáveis;
g) os procedimentos específicos da OM para garantir a SIDRL, incluindo a execução
e a armazenagem de cópias de segurança e divulgação de incidentes;
h) referência aos Planos de Adestramento de SIDRL e de divulgação das normas e
publicações relacionadas ao assunto;
i) a definição dos perímetros de segurança física das informações digitais, assim como
as normas e procedimentos de controle de acesso físico a esses perímetros;
j) os procedimentos de controle de entrada e saída, da OM e dos perímetros de
segurança, de qualquer dispositivo que possa armazenar informações digitais;
k) os procedimentos de controle da manutenção dos RCC, dos microcomputadores e
respectivos discos rígidos;
l) o estabelecimento de regras gerais e procedimentos para acesso à rede local e para
delimitação das permissões de uso do ambiente computacional da OM pelos
usuários ou grupos de usuários;
m) o planejamento, o controle e os procedimentos das auditorias internas;
n) referências aos planos de contingência (PLCONT) a serem utilizados para a
continuidade operativa da rede local da OM; e
o) normas e procedimentos para o controle do uso de recursos computacionais e do
acesso à rede por pessoal estrangeiro eventualmente embarcado, destacado,
cursando, visitando, participando de exercícios ou efetuando qualquer atividade na
OM.
42
5.2 Organizando a Segurança da Informação
De acordo com a norma ABNT NBR ISO/IEC 17799:2005(1), o objetivo da Infraestrutura da segurança da informação é gerenciar a segurança da informação dentro da
organização e convém que:
a) uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a
implementação da segurança da informação dentro da organização;
b) a direção aprove a política de segurança da informação, atribua as funções da
segurança, coordene e analise criticamente a implementação da segurança da
informação por toda a organização;
c) se necessário, uma consultoria especializada em segurança da informação seja
estabelecida e disponibilizada dentro da organização;
d) contatos com especialistas ou grupos de segurança da informação externos,
incluindo autoridades relevantes, sejam feitos para se manter atualizado com as
tendências do mercado, normas de monitoração e métodos de avaliação, além de
fornecer apoio adequado, quando estiver tratando de incidentes de segurança da
informação; e
e) um enfoque multidisciplinar na segurança da informação seja incentivado.
Também de acordo com a norma ABNT NBR ISO/IEC 17799:2005(1), o objetivo das
Partes Externas é manter a segurança dos recursos de processamento da informação e da
informação da organização, que são acessados, processados, comunicados ou gerenciados por
partes externas. Convém que:
a) a segurança dos recursos de processamento da informação e da informação da
organização não seja reduzida pela introdução de produtos ou serviços oriundos de
partes externas;
b) qualquer acesso aos recursos de processamento da informação da organização e ao
processamento e comunicação da informação por partes externas seja controlado;
c) seja feita uma análise/avaliação dos riscos envolvidos para determinar as possíveis
implicações na segurança e os controles necessários, onde existir uma necessidade
de negócio para trabalhar com partes externas, que possa requerer acesso aos
recursos de processamento da informação e à informação da organização, ou na
43
obtenção e fornecimento de um produto e serviço de uma parte externa ou para ela;
e
d) controles sejam acordados e definidos por meio de um acordo com a parte externa.
A estrutura de gerenciamento estabelecida para iniciar e controlar a implementação da
segurança da informação dentro da MB possui suas responsabilidades e atribuições divididas
por diversas OM. Além do já apresentado no item 4.5, os tópicos seguintes apresentam as
atribuições e responsabilidades na GSI de cada uma dessas OM chegando ao nível dos
usuários de uma OM.
O capítulo 4 desta monografia apresenta os objetivos das Partes Externas que é manter a
segurança dos recursos de processamento da informação e da informação das organizações da
MB, que são acessados, processados, comunicados ou gerenciados por partes externas.
5.2.2.1 Atribuições do Estado-Maior da Armada (EMA)
Como Órgão de Direção Geral (ODG), o EMA formula a doutrina básica das atividades
de SIDRL na MB.
5.2.2.2 Atribuições da Diretoria Geral do Material da Marinha (DGMM)
Compete à DGMM assessorar o Comandante da Marinha e o EMA nos assuntos de
Segurança das Informações Digitais em Redes Locais (SIDRL), zelar pelo fiel cumprimento
da doutrina básica elaborada pelo EMA, elaborar diretrizes para a utilização com segurança
das informações digitais integradas por redes locais de propriedade da MB e para a realização
das respectivas auditorias, aprovar as normas gerais para a SIDRL elaboradas pela DCTIM e
zelar pelo fiel cumprimento das normas, procedimentos e instruções pertinentes.
5.2.2.3 Atribuições da DCTIM
Por meio da Portaria N° 14/MB(20), foi alterada a denominação da Diretoria de
Telecomunicações da Marinha – DTM para Diretoria de Comunicações e Tecnologia da
Informação da Marinha – DCTIM.
Esta mudança é decorrente da reestruturação e modernização do setor de Tecnologia da
Informação (TI) da Marinha, determinada pelo Comandante da Marinha (CM). A nova OM é
criada a partir da ampliação da missão da agora extinta DTM, congregando em uma única
diretoria especializada a orientação e supervisão funcional do Sistema de Comunicações da
Marinha (SISCOM), as atividades técnicas pertinentes às Telecomunicações - ambas antes
exercidas pela extinta DTM - e a orientação da governança da Tecnologia da Informação na
44
Marinha, atividades estas até então executadas em parte pela DTM e em parte pela Diretoria
de Administração da Marinha (DAdM).
A assunção pela DCTIM das novas atividades pertinentes à governança de TI seguirá
cronograma estabelecido pelo Conselho de Tecnologia da Informação da Marinha (COTIM) e
aprovado pelo CM.
As atribuições da DCTIM são, a saber:
a) exercer a orientação técnica relativa ao SISCOM e às atividades de TI na Marinha;
b) exercer a supervisão funcional das OM no que diz respeito ao SISCOM e à
governança de TI;
c) supervisionar a operação, expansão e atualização do SISCOM;
d) dirigir as alterações, modificações, conversões, modernizações e obtenções de
equipamentos e sistemas de Telecomunicações do SISCOM;
e) assessorar o EMA na atualização da Doutrina de Comunicações da Marinha e da
Doutrina de Tecnologia da Informação da Marinha;
f) avaliar o desempenho de sistemas, equipamentos e materiais de sua jurisdição;
g) supervisionar as atividades de Segurança das Comunicações e de Segurança da
Informação Digital na MB. Dentro deste item temos as seguintes tarefas:
I. planejar, coordenar e controlar as atividades técnicas e administrativas de
SIDRL;
II. assessorar a DGMM nos assuntos de SIDRL;
III. supervisionar e analisar todas as atividades que possam afetar os requisitos de
SIDRL da MB;
IV. autorizar a execução de serviços nas redes locais não segregadas das OM por
pessoal externo, pois estes serviços (implementações ou correções) podem
afetar os requisitos de SIDRL da MB;
V. determinar as necessidades e adotar programas, equipamentos e materiais
específicos para as atividades de SIDRL;
VI. coordenar as atividades de auditoria de SIDRL nas OM da MB que possuam
informações digitais integradas por meio de rede local não segregada;
VII. manter atualizados na sua página da intranet as listas e os questionários de
verificação para realização das auditorias de SIDRL;
VIII. exercer ou delegar a competência da auditoria de SIDRL nas OM da MB;
IX. designar por Portaria os integrantes da equipe de auditoria de SIDRL nas OM
da MB; e
45
X. definir os requisitos para qualificação e certificação do pessoal da MB em
auditorias de SIDRL.
h) administrar as parcelas dos planos e programas da Marinha sob sua
responsabilidade;
i) administrar as atividades técnicas e gerenciais de abastecimento do material de sua
jurisdição;
j) orientar as atividades de manutenção dos equipamentos de sua jurisdição;
k) orientar e fomentar a nacionalização de sistemas, equipamentos e materiais de sua
jurisdição;
l) assessorar o COTIM e executar as ações e atividades decorrentes das deliberações
desse Conselho para a governança da Tecnologia da Informação na MB;
m) efetuar a conformidade de projetos e orientar a homologação de sistemas de
informação digital;
n) orientar a padronização de tecnologias de Informação e de Telecomunicações para
emprego na MB;
o) administrar acordos administrativos para a obtenção, em escala corporativa, de
ativos de Informação;
p) assessorar a DGMM na obtenção de recursos financeiros atinentes às atividades
concernentes ao emprego das Comunicações e da Tecnologia da Informação.
q) assessorar o Sistema de Planejamento de Pessoal da Marinha na obtenção das
necessidades de pessoal para atividades atinentes ao emprego da Tecnologia da
Informação e das Telecomunicações;
r) supervisionar a capacitação de pessoal da MB com relação às áreas de conhecimento
das Telecomunicações e da Tecnologia da Informação, atuando como Organização
Militar Orientadora Técnica de Telecomunicações e de TI (OMOT-T e OMOT-TI);
e
s) prover apoio administrativo ao CTIM, OM subordinada à DCTIM.
5.2.2.4 Atribuições do Titular (Comandante ou Diretor) da OM
Competem às seguintes responsabilidades, ao Titular da OM que possui informações
digitais integradas por meio de rede local de computadores:
a) zelar pelo fiel cumprimento das normas, procedimentos e instruções pertinentes à
SIDRL na sua OM;
46
b) zelar para que a operação e a manutenção dos equipamentos, instalações e sistemas
da rede local da OM sigam as instruções em vigor;
c) zelar pelo fortalecimento da mentalidade de segurança;
d) manter um programa de adestramento de SID para todo o pessoal da OM;
e) manter a OM preparada para eventuais auditorias referentes à SIDRL;
f) reportar prontamente os incidentes de SIDRL, após uma avaliação preliminar, à
DCTIM, com informação ao Comando Imediatamente Superior (COMIMSUP);
g) autorizar a execução de serviços nas redes locais segregadas da OM por pessoal
externo, pois estes serviços (implementações ou correções) podem afetar os
requisitos de SID da OM;
h) designar o OSID da OM; e
i) designar o Administrador da rede local (ADMIN) da OM.
5.2.2.5 Atribuições do OSID
Compete ao OSID estabelecer procedimentos para o gerenciamento da infra-estrutura da
SID devendo realizar as seguintes atividades:
a) estabelecer e divulgar, por meio de Ordem Interna (OI), as ISID para a OM, bem
como verificar sua implementação;
b) coordenar, junto aos demais setores da OM, o estabelecimento dos Planos de
Adestramento de SID e zelar pelo seu cumprimento;
c) assessorar o Titular da OM nos assuntos de SID;
d) alterar, propor, analisar e verificar se os requisitos de SID estão sendo praticados em
conformidade com as normas estabelecidas;
e) identificar os recursos de informática que necessitam de proteção, de acordo com o
respectivo grau de sigilo da informação por eles processada ou armazenada. Este
procedimento de identificação deve estar explícito na ISID da OM;
f) definir os requisitos mínimos de proteção das informações digitais e formalizá-los
na ISID da OM;
g) reportar prontamente os incidentes de SID, após uma avaliação preliminar, ao
Titular da OM;
h) controlar as autorizações para o acesso de usuários aos sistemas computacionais da
OM;
i) elaborar e controlar a análise de riscos e vulnerabilidades, pelo menos uma vez por
ano, e participar seu respectivo relatório ao Titular da OM;
47
j) supervisionar a elaboração, o controle e a manutenção do Histórico da Rede Local
(HRL);
k) analisar o impacto da descontinuidade dos serviços e suas conseqüências para o
ambiente computacional da OM, estabelecendo um plano de contingência;
l) testar o plano de contingência, com periodicidade inferior a dois anos;
m) exigir do pessoal externo à OM, autorizado a executar serviços na rede local
(segregada ou não), a assinatura do TRI e o cumprimento das regras estabelecidas
no referido termo para guarda e proteção do sigilo das informações que possa ter
acesso. Além disso, o OSID deverá cumprir os procedimentos sobre segurança
orgânica, contidos na COMOPNAVINST No 34-02B(21);
n) garantir que os serviços (instalações, manutenções ou correções) sejam feitos sem
afetar a segurança dos sistemas de informações digitais;
o) garantir que todos estejam cientes das instruções em vigor para a segurança das
informações digitais do ambiente computacional da OM, por meio da assinatura do
TRI pelos usuários que acessam a rede local; e
p) garantir que todos os usuários que possuam estações de trabalho tenham assinado o
TRET.
5.2.2.6 Atribuições do ADMIN
O ADMIN deverá ser nomeado formalmente por Ordem de Serviço do Titular da OM,
devendo ter, preferencialmente, capacitação em Administração de Rede de Computadores e,
se possível, certificação para os sistemas operacionais que estejam sendo utilizados dentro da
OM, assim como conhecimentos mínimos em auditoria de sistemas computacionais. Por
questões de segurança, as funções de ADMIN e de OSID não são acumuladas.
Compete ao ADMIN gerenciar a rede local de forma a mantê-la operando dentro dos
seus requisitos operacionais e com todos seus serviços em funcionamento. São
desempenhadas pelo ADMIN as seguintes atividades:
a) não permitir a divulgação de características da rede local a pessoas externas à OM
sem a autorização prévia e formal do OSID. Informações sobre as características da
rede local e de seus componentes são consideradas sigilosas. É imperioso dar-lhes o
devido tratamento, observando-se o grau de sigilo atribuído pelo OSID;
b) elaborar, controlar e manter o HRL;
c) auxiliar o OSID na divulgação da ISID da OM e das respectivas normas;
48
d) implementar, no sistema computacional da OM, uma tela de entrada que apresente
as regras estabelecidas no TRI, para que todos os usuários somente acessem o
ambiente computacional da OM após o conhecimento dessas regras;
e) assessorar o OSID na avaliação dos incidentes de segurança;
f) criar, apagar ou alterar perfis ou privilégios de usuários ou grupos de usuários;
g) controlar e gerenciar os acessos aos sistemas;
h) efetuar as atualizações nos sistemas da rede local;
i) manter as soluções de conectividade implantadas pela DCTIM e sugerir novas
soluções;
j) monitorar o volume de tráfego na rede;
k) estabelecer procedimentos para garantir que as cópias de segurança (“backups”)
estejam sendo feitas e guardadas de forma correta e segura;
l) executar exercícios do plano de contingência com as áreas envolvidas da OM;
m) estabelecer os requisitos mínimos de segurança para recursos computacionais de uso
individual, de acordo com as normas em vigor;
n) elaborar procedimentos para implementar o acesso ao sistema computacional da OM
dos usuários autorizados pelo OSID;
o) configurar as estações de trabalho e entregá-las aos respectivos usuários, mediante a
assinatura do TRET. No caso de transferência de estações de trabalho entre usuários,
ter o cuidado de “formatar” o disco rígido e restabelecer a configuração padrão da
OM; e
p) instalar, nas estações de trabalho dos usuários da rede local da OM, um ícone que
possibilite o acionamento imediato da proteção de tela (“screen saver”).
5.2.2.7 Atribuições do Usuário
O usuário de serviços e equipamentos interligados pela rede local da OM, seja militar,
servidor civil ou prestador de serviço, deverá estar ciente das suas responsabilidades sobre
SID. Para garantir o atendimento desse requisito, ele estará apto a receber uma estação de
trabalho somente após a assinatura do TRET, ficando autorizado a acessar o sistema da OM
após tomar ciência das normas de SID e assinar o TRI.
49
5.3 Gestão de Riscos
De acordo com a norma ABNT NBR ISO/IEC 17799:2005(1), a gestão de riscos são
atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos,
geralmente, inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e
a comunicação de riscos.
Ainda, segundo a norma ABNT NBR ISO/IEC 17799:2005(1), risco, ameaça e
vulnerabilidade são definidos por:
a)
risco: combinação da probabilidade de um evento e de suas conseqüências;
b) ameaça: causa potencial de um incidente indesejado, que pode resultar em dano
para um sistema ou organização; e
c)
vulnerabildade: fragilidade de um ativo ou grupo de ativos que pode ser explorada
por uma ou mais ameaças
Convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os
riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a
organização. Convém que os resultados orientem e determinem as ações de gestão
apropriadas e as prioridades para o gerenciamento dos riscos de segurança da informação, e
para a implementação dos controles selecionados, de maneira a proteger contra estes riscos. O
processo de avaliar os riscos e selecionar os controles pode precisar ser realizado várias vezes,
de forma a cobrir diferentes partes da organização ou de sistemas de informação específicos.
Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a
magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os
critérios de risco para determinar a significância do risco (avaliação do risco).
Convém que as análises/avaliações de riscos também sejam realizadas periodicamente,
para contemplar as mudanças nos requisitos de segurança da informação e na situação de
risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação do risco e quando
uma mudança significativa ocorrer. Essas análises/avaliações de riscos devem ser realizadas
de forma metódica, capaz de gerar resultados comparáveis e reproduzíveis.
Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo
claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de
riscos em outras áreas, se necessário.
50
O escopo de uma análise/avaliação de riscos pode tanto ser em toda a organização,
partes da organização, em um sistema de informação específico, em componentes de um
sistema específico ou em serviços onde isto seja praticável, realístico e útil.
Com relação ao tratamento do risco, é importante que antes de considerar com reagir a
um risco, a organização defina os critérios para determinar se o mesmo pode ser ou não
aceito. Se for avaliado que o risco é baixo ou que o custo do tratamento não é
economicamente viável para a organização, o mesmo pode ser aceito.
Para cada risco identificado, seguindo a análise/avaliação de riscos, uma decisão sobre o
tratamento do risco deve ser tomada. Possíveis opções são:
a) aplicar controles apropriados para reduzir os riscos;
b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à
política da organização e aos critérios para a aceitação de risco;
c) evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;
d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou
fornecedores.
Para os riscos onde a decisão de tratamento seja a de aplicar os controles apropriados,
convêm que esses controles sejam selecionados e implementados para atender aos requisitos
identificados pela análise/avaliação de riscos. A princípio, esses controles devem assegurar
que os riscos sejam reduzidos a um nível aceitável, levando-se em conta:
a) os requisitos e restrições de legislações e regulamentações nacionais e
internacionais;
b) os objetivos organizacionais;
c) os requisitos e restrições operacionais;
d) custo de implementação e a operação em relação aos riscos que estão sendo
reduzidos e que permanecem proporcionais às restrições e requisitos da organização;
e
e) a necessidade de balancear o investimento na implementação e operação de
controles contra a probabilidade de danos que resultem em falhas de segurança da
informação.
Os
controles
podem
NBR ISO/IEC 17799:2005
(1)
ser
selecionados
a
partir
da
norma
ABNT
(controles contidos no item 3.4) ou de outros conjuntos de
controles, ou novos controles podem ser considerados para atender às necessidades
específicas da organização. É importante reconhecer que alguns controles podem não ser
51
aplicáveis a todos os sistemas de informação ou ambientes, e podem não ser praticáveis para
todas as organizações.
É conveniente que os controles de segurança da informação sejam considerados na
especificação dos requisitos e nos estágios iniciais dos projetos e sistemas. Caso contrário,
pode ocorrer custos adicionais e soluções menos efetivas, ou mesmo, no pior caso,
incapacidade de se alcançar a segurança necessária.
É importante ressaltar que nenhum conjunto de controles pode conseguir a segurança
completa, e que uma ação gerencial adicional deve ser implementada para monitorar, avaliar e
melhorar a eficiência e eficácia dos controles de segurança da informação, para apoiar as
metas da organização.
De acordo com a DGMM 0520(17), a gestão de risco da SID faz parte do contexto do
HRL que tem por objetivo manter um memorial descritivo e o registro de todas as atividades e
transações normais e de rotina que podem afetar de alguma forma a SIDRL. O HRL está
voltado às ações de histórico, análise de incidentes, prevenção e correção. A elaboração, o
controle e a manutenção do HRL são de responsabilidade do ADMIN, sob supervisão do
OSID. O HRL possui grau de sigilo Confidencial e é composto de quatro partes:
a) descrição da Rede;
b) atividades de Rotina;
c) incidentes; e
d) vulnerabilidades e Riscos.
Será feito a apresentação dos quatros itens acima (apesar de o item “d” ser o mais afeto
à gestão de risco) pelo fato dos mesmos comporem o HLR e terem reflexo nos demais
controles que serão obcordados adiante.
5.3.2.1 Descrição da Rede
Esta parte deve apresentar o estado atualizado da rede local e seu respectivo ambiente,
devendo conter, no mínimo, os seguintes tópicos, com as respectivas datas de atualização:
a) configuração dos RCC;
b) diagrama da topologia da rede local, com as localizações de todos os RCC (e
respectivos endereços de rede) e das rotas dos cabos de interligação ou conexões;
c) diagrama das áreas e perímetros de segurança;
d) programas aplicativos e sistemas operacionais, apresentando os dados das
respectivas licenças de uso;
52
e) controle de programas em uso e das necessidades de licenças de software;
f) registro dos usuários autorizados a acessar o ambiente da rede local e suas
respectivas permissões de uso (privilégios);
g) controle dos usuários que não possuem contas de acesso;
h) registro das atualizações na topologia da rede; e
i) registro das correções e novas implementações feitas na rede local, devendo estas
serem feitas somente após aprovação do OSID. Este registro deve contemplar sua
descrição, a necessidade geradora, os sistemas afetos e o responsável pela correção
ou implementação.
5.3.2.2 Atividades de Rotina
Estas atividades correspondem aos eventos rotineiros de segurança da rede, explícitos e
declarados na ISID. Exemplos de eventos de rotina que devem ser registrados com as
respectivas datas de lançamento e de atualização:
a) concessões e cancelamentos de privilégios de usuários;
b) histórico das respectivas datas de criação, de alterações e de desativação das contas
de acesso à rede local da OM, com a identificação nominal dos responsáveis;
c) concessões e cancelamentos de permissões de acesso às redes externas via rede
local;
d) configuração dos arquivos de registro (“logs”) dos acessos aos equipamentos
servidores e às bases de dados;
e) desconexão ou conexão de estações de trabalho e equipamentos servidores;
f) configurações das barreiras digitais de proteção externa (“firewall”) da rede e das
estações de trabalho (“firewall” pessoal);
g) configurações de roteadores e “switches”;
h) configuração dos arquivos de registro (“logs”) dos acessos físicos onde estejam
operando RCC de nível 1;
i) configuração dos arquivos de registro da estatística do volume de tráfego de
informações digitais que circulam internamente na rede local; e
j) configuração dos arquivos de registro da estatística do volume de tráfego de
informações digitais que são trocadas com redes externas.
53
5.3.2.3 Incidentes
Esta parte tem como objetivo registrar qualquer incidente que afete a SIDRL. O modelo
para o registro de incidentes está apresentado no Histórico da Rede Local – Incidentes
(Apêndice D), sendo sua numeração, controle e registro de responsabilidade do OSID.
Após analisar uma ocorrência e verificar que se trata de um incidente que afete RCC
Nível 1, o OSID deve participar o fato ao Titular da OM, o qual deverá enviar mensagem
preferencial/confidencial à DCTIM, com informação ao COMIMSUP, indicando se algum
procedimento do PLCONT foi acionado e seu respectivo resultado. O relato imediato de
qualquer incidente é de responsabilidade de todos os usuários da rede local. A omissão de
relato, pelo usuário, de um incidente que possa afetar a SID está sujeita a responsabilização,
pois contraria o previsto no TRI.
O registro do incidente deve ser feito, de forma clara e objetiva, no campo Relato do
Incidente (RI). A análise do ocorrido deverá ser feita pelo OSID, o qual deverá registrar seus
comentários no campo Comentários, Análise sobre o Incidente e respectivas correções. Caso
afete algum RCC Nível 1, o RI deverá ser ratificado pelo Titular da OM.
5.3.2.4 Vulnerabilidades e Riscos
O registro e análise das vulnerabilidades e riscos tem por objetivo avaliar as possíveis
ameaças à rede local e os respectivos danos às informações digitais, isto é, identificar pontos
onde a operação da rede local possa ser ameaçada ou posta em risco. A periodicidade de
revisão das vulnerabilidades e riscos deve ser de, no máximo, 12 (doze) meses, cabendo a
responsabilidade da elaboração e de seu controle ao OSID. O exemplo de um registro de
riscos e vulnerabilidades é apresentado no Apêndice D.
Caso a OM não possa conduzir esta análise exclusivamente com seu próprio pessoal,
poderá ter o apoio de pessoal credenciado de outra OM, após solicitação, via COMIMSUP, à
DCTIM. Mediante a análise das justificativas apresentadas e da capacitação do pessoal de
apoio indicado, aquela Diretoria autorizará ou não a solicitação. Ressalta-se que é
expressamente proibido o serviço de análise de riscos e vulnerabilidades por pessoa ou
empresa externa à MB.
A análise de riscos e vulnerabilidades deve conter, no mínimo, os seguintes tópicos:
a) Análise de Risco e Vulnerabilidades Físicas
Esta parte avalia o risco de ordem física que possa afetar o ambiente computacional e de
segurança física da rede local, abrangendo, no mínimo, os seguintes itens:
54
I. as instalações elétricas e os sistemas de alimentação;
II. o meio físico utilizado na rede local;
III. o sistema de refrigeração dos locais onde estão os RCC Nível 1;
IV. a avaliação dos Perímetros de Segurança;
V. a necessidade de sistema de monitoramento à distância;
VI. a avaliação dos sistemas de execução das cópias de segurança;
VII. os controles dos acessos físicos aos locais onde estão os RCC Nível 1; e
VIII. sistema de combate à incêndio dos locais onde estão os RCC Nível 1.
b) Análise de Risco e Vulnerabilidades Lógicas
Esta parte avalia o risco de ordem lógica que possa afetar o ambiente computacional e
de segurança da rede local. Os riscos lógicos abrangem os sistemas integrantes da rede local,
desde o gerenciamento dos endereçamentos até os aplicativos instalados e serviços
disponibilizados. Esta avaliação abrange, no mínimo, os seguintes itens:
I. o controle dos endereços de rede;
II. os sistemas de tradução de endereços de rede entre a rede interna e as redes
externas;
III. o sistema de gerenciamento do tráfego;
IV. a utilização de barreiras digitais de proteção (“firewall” pessoal) nas estações
de trabalho;
V. a utilização de barreiras digitais de proteção (“firewall”) entre a rede local e
redes externas;
VI. a configurações dos elementos de conectividade (“hubs”, “switches” e
roteadores);
VII. as portas lógicas de acesso aos serviços da rede local nas estações de trabalho e
nos equipamentos servidores de rede;
VIII. as falhas no sistema operacional e aplicativos disponibilizados na rede; e
IX. as falhas nos serviços disponibilizados na rede.
c) Comparações com Análises Anteriores
Esta parte tem como propósito efetuar uma comparação dos riscos avaliados nas partes
1 e 2 com os riscos apresentados nas análises anteriores, caso existam. Esta comparação irá
permitir uma contínua avaliação do aumento ou da redução dos impactos nos requisitos
básicos de SIDRL.
Para cada um dos tópicos apresentados nas partes 1 e 2 deverá ser atribuído uma nota
subjetiva (nível de segurança) variando de 0 (zero) a 10 (dez), referente ao nível de
55
segurança oferecido por determinado item avaliado. O nível zero se refere à total
inexistência de segurança (risco extremo para a SID) e o nível dez se refere a um item seguro
(sem risco identificado para a SID). A comparação será feita, portanto, entre as notas
atribuídas nas análises atual e anterior, justificando as causas de melhorias ou pioras
avaliadas.
Como comentado no início deste capítulo, no próximo, está descrita uma discussão do
estudo comparativo de conformidade dos procedimentos de SI da MB aos controles gerenciais
de SI.
56
6 DISCUSSÃO
6.1 Política de Segurança da Informação
Após a avaliação preliminar de conformidade dos procedimentos de SI da MB aos
controles gerenciais de SI no capítulo anterior são apresentadas nas tabelas seguintes um
resumo das conformidades de cada controle.
Tabela 1: Conformidade da “Política de Segurança da Informação”
Previsto na Norma ABNT NBR ISO/IEC
Conformidade
Observações
17799:2005
Conceituação da segurança da informação, as metas
globais, escopo e importância da segurança como
Constante nos itens
Sim
mecanismo que habilita o compartilhamento de
4.2 e 5.1.2.
informações.
Quanto
ao
comprometimento
da
direção,
apoiando as metas
Sim
e princípios da
segurança.
Constante nos itens
Declaração do comprometimento da direção,
4.2 e 5.1.2
apoiando as metas e princípios da segurança,
alinhado com os objetivos estratégicos do negócio.
Não
especifica
quanto “alinhado
com os objetivos
Não
estratégicos
do
negócio”.
Constante nos itens
4.2 e 5.1.2.
Estrutura para estabelecer os objetivos de controle e
Constante nos itens
os controles, incluindo a análise, avaliação e
Sim
4.2, 5.1.2 e 5.2.2.
gerenciamento de riscos.
Breve explanação das políticas, princípios, normas e
Constante nos itens
requisitos de conformidade da segurança da
Sim
4.2 e 5.1.2.
informação específico para a organização.
Definição de responsabilidades gerais e específicas
Constante nos itens
na gestão da segurança da informação, incluindo o
Sim
4.2, 5.1.2 e 5.2.2.
registro de incidentes de segurança.
Referências à documentação que possam apoiar a
Constante nos itens
Sim
política.
4.2 e 5.1.2
57
Após a análise do contido na DGMM 0520(17) sobre ISID e a comparação com o contido
na norma ABNT NBR ISO/IEC 17799:2005(1), pode-se afirmar que o conceito de política de
segurança da DGMM 0520(17) atende a norma citada. Ela contempla itens da política de
segurança da informação contida na norma ABNT NBR ISO/IEC 17799:2005(1) como, por
exemplo, a definição de um responsável pela ISID e a sua periodicidade de revisão, contudo
extrapola ao conceito ao incluir normas e procedimentos em seu conteúdo.
De acordo com Allemand et al(13):
“as políticas estão no nível estratégico da organização, como orientadora dos
processos, os demais elementos norteadores como padrões, rotinas e procedimentos
têm a finalidade de detalhar as políticas, definindo com maior precisão como
implementar a política, qual padrão e procedimentos podem ser usados. Importante
observar que os padrões, procedimentos e rotinas são independentes, embora
mantenham ligações”.
Assim, a política deve ser entendida como elemento estratégico, normas estão abaixo se
posicionando no nível tático e ainda mais abaixo estão os procedimentos, no nível
operacional, conforme Figura 6.
Figura 6: Níveis entre Política, Normas e Procedimentos
A política é o nível mais elevado e explicita sobre o que fazer, normas e o
procedimentos estão em níveis abaixo e explicam o como fazer.
Ao mesmo tempo em que a DGGM 0520(17) determina que a ISID deva ser simples,
objetiva, de fácil compreensão e aplicação e deve possuir grau de sigilo ostensivo, para todos
os usuários, ela enfatiza a necessidade da ISID possuir uma séria de normas, regras e
procedimentos. Como exposto, os procedimentos estão em um nível operacional bem mais
abaixo que a política que está em um nível estratégico.
58
A ISID tem até como objetivo definir procedimentos que garantam requisitos os
básicos de SIDRL. Seria mais conveniente que tivesse como objetivo algo mais próximo de
prover orientação e apoio da direção para a segurança da informação de acordo com os
requisitos do negócio de cada OM e com as leis e regulamentações importantes.
6.2 Organizando a Segurança da Informação
Após a apresentação e análise do capítulo 2 da documentação DGMM 0520(17) e o
conteúdo dos Apêndices B e C, pode-se constatar que a MB atende ao objetivo da
Infra-estrutura da segurança da informação e das Partes Externas (apresentadas no capítulo 4)
quais sejam, gerenciar a segurança da informação dentro da MB desde a organização de nível
hierárquico mais alto até o usuário final (cliente) e manter a segurança dos recursos de
processamento da informação e da informação da organização, que são acessados,
processados, comunicados ou gerenciados por partes externas.
Tabela 2: Conformidade da "Organização da Segurança da Informação"
Conformidade
Observações
17799:2005
Uma estrutura de gerenciamento seja estabelecida
Constante nos itens
para iniciar e controlar a implementação da
Sim
4.5, 4.9 e 5.2.2.
segurança da informação dentro da organização.
A direção aprove a política de segurança da
informação, atribua as funções da segurança,
Constante nos itens
Sim
coordene e analise criticamente a implementação da
4.5, 4.9 e 5.2.2.
segurança da informação por toda a organização.
Se necessário, uma consultoria especializada em
Constante nos itens
segurança da informação seja estabelecida e
Sim
5.2.2.3 e 6.2.
disponibilizada dentro da organização.
Contatos com especialistas ou grupos de segurança
da informação externos, incluindo autoridades
relevantes, sejam feitos para se manter atualizado
Constante no item
com as tendências do mercado, normas de
Sim
6.2.
monitoração e métodos de avaliação, além de
fornecer apoio adequado, quando estiver tratando de
incidentes de segurança da informação.
Um enfoque multidisciplinar na segurança da
Constante no item
Sim
informação seja incentivado.
6.2.
A segurança dos recursos de processamento da
informação e da informação da organização não seja
Constante no item
reduzida pela introdução de produtos ou serviços
Sim
5.2.2.
oriundos de partes externas.
59
Conformidade
Observações
17799:2005
Qualquer acesso aos recursos de processamento da
informação da organização e ao processamento e
Constante no item
Sim
comunicação da informação por partes externas seja
5.2.2.
controlado.
Controles sejam acordados e definidos por meio de
Sim. Constante no
Sim
um acordo com a parte externa.
item 6.2.
Seja feita uma análise/avaliação dos riscos
envolvidos para determinar as possíveis implicações
na segurança e os controles necessários, onde existir
uma necessidade de negócio para trabalhar com
Constante nos itens
partes externas, que possa requerer acesso aos
Sim
5.2.2.5, 5.2.2.6 e
recursos de processamento da informação e à
5.32.
informação da organização, ou na obtenção e
fornecimento de um produto e serviço de uma parte
externa ou para ela.
Duas observações devem ser feitas com relação ao item d) da Infra-estrutura da
segurança da informação no que tange ao “contatos com especialistas ou grupos de segurança
da informação externos quando estiver tratando de incidentes de segurança da informação”.
A primeira:
Por questões de segurança, as atividades de suporte e resposta aos incidentes de TI estão
concentradas no CTIM, não sendo autorizado o acesso a RECIM de pessoas externas à MB ou
qualquer empresa sem a autorização formal do EMA. Além da questão de segurança, por
determinação da Doutrina de SID da MB, contida na publicação EMA-416(22), os Órgãos de
Direção Especializada (ODE) devem adotar as medidas necessárias para promover a
eliminação da dependência externa da MB em relação à SID.
A segunda:
Anualmente é realizado o Simpósio de Tecnologia da Informação da Marinha que
tem como propósito reunir representantes da MB, das demais Forças Armadas, de
Organizações Governamentais, do meio acadêmico e do setor produtivo (bens e serviços) que
desenvolvam atividades nas áreas de Tecnologia da Informação, com intuito de:
a) contribuir para a divulgação do estado da arte da ciência e da tecnologia nessas
áreas;
b) promover o intercâmbio de informações;
c) possibilitar a identificação de possíveis sinergias entre os envolvidos, contribuindo
para fortalecer os laços entre os setores acadêmico, produtivo e de defesa; e
60
d) abrir um canal para aporte de recursos financeiros mediante desenvolvimento de
tecnologia de uso dual ou diretamente para os projetos em desenvolvimento.
O Simpósio de Tecnologia da Informação da Marinha é aprovado pelo Conselho de
Ciência e Tecnologia da Marinha, dentro das atividades de C&T, sendo organizado pelo
CASNAV e supervisionado pelo EMA.
6.3 Gestão de Riscos
Após a análise do contido na DGMM 0520(17) sobre gestão de riscos e a comparação
com o contido na norma ABNT NBR ISO/IEC 17799:2005(1), pode-se afirmar que a MB
prevê controles de modo a gerar um processo de monitoramento dos riscos a que a informação
a ser protegida está submetida de acordo com o seu valor estimado.
Tabela 3: Conformidade da "Gestão de Riscos"
Conformidade Observações
17799:2005
As análises/avaliações de riscos identifiquem,
quantifiquem e priorizem os riscos com base em critérios
Constante no
Sim
para aceitação dos riscos e dos objetivos relevantes para
item 5.3.2.
a organização.
Os resultados orientem e determinem as ações de gestão
apropriadas e as prioridades para o gerenciamento dos
riscos de segurança da informação, e para a
Não
–
implementação dos controles selecionados, de maneira a
proteger contra estes riscos.
A análise/avaliação de riscos inclua um enfoque
sistemático de estimar a magnitude do risco (análise de
Constante no
riscos) e o processo de comparar os riscos estimados
Sim
item 5.3.2.
contra os critérios de risco para determinar a
significância do risco.
As análises/avaliações de riscos também sejam
realizadas periodicamente, para contemplar as mudanças
nos requisitos de segurança da informação e na situação
Constante no
Sim
de risco. Essas análises/avaliações de riscos devem ser
item 5.3.2.
realizadas de forma metódica, capaz de gerar resultados
comparáveis e reproduzíveis.
A análise/avaliação de riscos de segurança da
informação tenha um escopo claramente definido para
Constante no
ser eficaz e inclua os relacionamentos com as
Sim
item 5.3.2.
análises/avaliações de riscos em outras áreas, se
necessário.
A MB não possui uma publicação específica para gestão de riscos, contudo a
DGMM 0520(17), no seu capítulo 4, traz orientações de como se realizar o “registro e análise
61
das vulnerabilidades e riscos” que tem por objetivo avaliar as possíveis ameaças à rede local
e os respectivos danos às informações digitais. Este é composto por “análise de risco e
vulnerabilidades físicas” e “análise de risco e vulnerabilidades lógicas”. Contudo, a
avaliação subjetiva sobre análise de risco e vulnerabilidades, contida na letra c do
item 5.3.2.4, não é satisfatória por se limitar a análise e a avaliação não percorrendo as outras
etapas de uma gestão de riscos. É recomendável que a formulação da metodologia de análise e
avaliação de riscos esteja baseada em critérios objetivos visando a continuidade e coerência
de resultados.
A gestão de riscos envolve a Análise, Avaliação, Tratamento, Aceitação e Comunicação
do Risco. A Análise de risco fornece a base para a Avaliação do risco, que por sua vez é um
processo sistemático de uso de informações e conhecimentos para estimar os riscos
(probabilidade de um evento e sua conseqüência). Essa avaliação deve ser utilizada para
apoiar a decisão de como se tratar o risco (evitar, otimizar, transferir ou reter).
O que torna um risco aceitável ou inaceitável? Existem métricas que apóiam a avaliação
do risco. Normalmente, um risco é passível de aceitação quando o custo para a
implementação dos seus controles supera os valores das conseqüências oriundas da ocorrência
do evento.
Encerrada esta etapa, no próximo capítulo são realizadas as conclusões finais e as
sugestões para trabalhos futuros.
62
7 CONSIDERAÇÕES FINAIS E TRABALHOS FUTUROS
A norma ABNT NBR ISO/IEC 17999:2005(1) estabelece diretrizes e princípios gerais
para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma
organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas
geralmente aceitas para a gestão da segurança da informação.
Conforme já apresentado, o administrador público não é obrigado a cumprir esta norma,
seja do ponto de vista legislativo, por meio de um decreto ou lei; ou do ponto de vista
normativo, como uma instrução normativa; ou ainda uma determinação de um órgão como o
TCU. Contudo, a Instrução Normativa GSI nº 01, de 13 de junho de 2008(2), aprova
orientações para Gestão de Segurança da Informação e Comunicações que deverão ser
implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta.
No caso mais específico da MB, este trabalho procura identificar se a instituição segue
orientações para Gestão de Segurança da Informação e Comunicações.
Nesse contexto, foi estabelecido o objetivo geral de verificar se os instrumentos
normativos internos da MB sobre Segurança da Informação estão em conformidade com a
norma ABNT NBR ISO/IEC 17999:2005(1) e, conseqüentemente, estabelecidos os seguintes
objetivos específicos:
a) efetuar uma revisão da documentação da MB relacionada com a Segurança da
Informação;
b) estabelecer os controles para verificação; e
c) realizar o processo de verificação de conformidade.
Para atingir esses objetivos foram estabelecidos os controles, dentro dos existentes na
norma ABNT NBR ISO/IEC 17999:2005(1), a Política de Segurança da Informação,
Organizando a Segurança da Informação e Gestão de Riscos.
Com relação ao controle “Política de Segurança da Informação”, constata-se que a MB
leva em consideração a necessidade da existência do documento “Política da Segurança da
Informação”. Contudo, como já discutido, política é um documento de alto nível e, portanto
não deve conter normas ou procedimentos. Deve estabelecer regras de alto nível apresentando
“o que deve ser feito” e “por que”, nunca o “como fazer”.
Desse modo, sugere-se que a DGMM 0520(17) inclua a criação de documento voltado
para um “Programa de Segurança da Informação” no qual estejam incluídos a política de
segurança de informação, as normas, regras e procedimentos e a distinção entre os mesmos.
63
Desse modo, seria possível a desvincular as normas, regras e procedimentos da política de
segurança da informação (ISID na MB).
Além disso, sugere-se também que a ISID tenha como objetivo algo mais próximo de
“prover orientação e apoio da direção para a segurança da informação de acordo com os
requisitos do negócio de cada OM e com as leis e regulamentações importantes”.
Com relação ao controle “Organizando a Segurança da Informação, pode-se constatar
que a MB atende ao objetivo da Infra-estrutura da segurança da informação e das Partes
Externas e não há sugestões a serem feitas. Cabe ressaltar a atenção e preocupação prestada
pela MB decorrentes das mudanças tecnológicas e de comportamento provocadas pela
revolução da TI, principalmente na Segurança da Informação.
As ações mais recentes da MB estão sintetizadas nos itens 4.8 e 4.9 deste trabalho. Eles
revelam que a MB procura se estruturar, adequar e se manter atualizada frente às constantes
inovações de TI de modo a estar preparada para se contrapor as possíveis ameaças no campo
da SI.
Já com relação ao controle “Gestão de Riscos”, a MB não leva em consideração todas as
etapas dessa Gestão. Ela é composta por Análise, Avaliação, Tratamento, Aceitação e
Comunicação do Risco. Conforme consta na norma ABNT NBR ISO/IEC 17999:2005(1), os
resultados da Análise e Avaliação devem orientar e determinar as ações de gestão apropriadas
e as prioridades para o gerenciamento dos riscos de segurança da informação, e para a
implementação dos controles selecionados, de maneira a proteger contra estes riscos.
A DGMM 0520(17) apresenta as vulnerabilidades físicas e lógicas com as respectivas
atribuições de graus de segurança sem avançar nos demais elementos que fazem parte de uma
gestão de riscos. Sugere-se a implementação de um modelo que apresente uma gestão de risco
considerando não somente a Análise e Avaliação, mas também o Tratamento, Aceitação e
Comunicação do Risco. Sugere-se também que análise e avaliação de riscos esteja baseada
em critérios objetivos visando a continuidade e coerência de resultados.
Por meio deste trabalho de conformidade, conclui-se que a MB possui documentação
com uma estrutura de SI, formalmente instituída; está estruturada de forma a se adequar e
manter atualizada frente às constantes inovações de TI, de modo a estar preparada para se
contrapor as possíveis ameaças no campo da SI e pôde agregar conhecimento à MB em SI,
motivado pelo interesse do autor com o tema e pelo vínculo que possui com a instituição.
Conclui-se também que a MB desenvolve os procedimentos de segurança da
informação e práticas eficientes de gestão da segurança da informação.
64
Como este trabalho não esgotou a conformidade dos demais controles constates na
norma ABNT NBR ISO/IEC 17999:2005(1) com as publicações existentes na MB, sugere-se
como temas para trabalhos futuros a conformidade desses controles (ou de alguns deles) com
as publicações da MB. A metodologia usada neste trabalho pode ser usada não só em outros
controles, como também, em outras organizações da APF.
65
REFERÊNCIAS
1. Associação Brasileira de Normas Técnicas. NBR ISO/IEC 17799:2005: Tecnologia da
informação – Técnicas de segurança. [Online] ABNT, 28 de 8 de 2006. [Citado em: 10 de 10
de 2008.] NBR ISO/IEC 17799:2005.
2. Instrução Normativa GSI nº 1. Diário Oficial da União - seção 1. [Online] 18 de junho
de 2008. http://www.planalto.gov.br/gsi/cgsi/instrucao_normativa_01_cgsi.pdf.
3. Decreto 3.503. http://www.planalto.gov.br/ccivil_03/decreto/D3503.htm. [Online] [Citado
em: 14 de novembro de 2008.] http://www.planalto.gov.br/ccivil_03/decreto/D3503.htm.
4. COSTA, M.M. A Gestão Eletrônica de Documentos no Estado. Monografia. Brasília :
FGV, 2004.
5. CASSARRO, A. C. Sistemas de informação para tomadas de decisões. 3. ed. São Paulo :
Pioneira, 1999.
6. TURBAN, E., MCLEAN, E. e WETHERBE, J. Tecnologia da Informação para Gestão 3ª Ed. Porto Alegre : Bookman, 2004. ISBN 8536303417 .
7. MCGARRY, K. O contexto dinâmico da informação. Brasília : Briquet de Lemos, , 1999.
ISBN 8585637129.
8. DAVENPORT, T.H. Ecologia da Informação. São Paulo : Futura, 2000. ISBN
8586082724.
9. TAKAHASHI, T. Sociedade da informação: livro verde. Brasília : Ministério de e
Tecnologia, 2000.
10. BAUER, C.A. Política de Segurança da Informação de Redes Corporativas. Monografia.
Novo Hamburgo : s.n., 2006.
11. PELTIER, T. R. Information Security Poliies and Procedures: A practitioner’s
reference. Second Edition. s.l. : CRC Press, 2004. ISBN: 0849399963.
12. NIST. NIST, Information Security. [Online] U.S. Department of Commerce, 2006.
[Citado em: 13 de 09 de 2008.] http://www.nist.gov.
13. ALLEMAND, M., NETTO, G.O. e FREIRE, P.A.F. Gestão Operacional de Segurança
da Informação. Brasília : UnB, 2007.
14. KRUTZ, R.L. VINES, R.D. The CISSP Prep Guide: Mastering the Ten Domains of
ComputerSecurity. s.l. : Jonh Wiley & Sons, 2001.
66
15. República, Gabinete de Segurança Institucional da Presidência da. Relatório Final do
GT Metodologia de Gestão de Segurança da Informação para a APF 30 de maio. Brasil :
GSI, 2006.
16. MICHAELIS. Moderno Dicionário da Língua Portuguesa.São Paulo. Companhia
Melhoramentos, 1998. ISBN 8506027594, 9788506027592.
17. Marinha, Diretoria Geral do Material da. DGMM 0520: Normas para a Gestão de
Segurança das Informações Digitais em Redes Locais. Norma. Rio de Janeiro : Marinha do
Brasil, 2004.
18. Marinha, Diretoria De Comunicações E Tecnologia da Informação da. BONO nº504.
Boletim de Ordens e Notícias Especial. 23 de 06 de 2008.
19. Armada, Estado-Maior da. BONO nº748. Boletim de Ordens e Notícias Especial. 7 de
11 de 2007.
20. Marinha, Diretoria De Comunicações E Tecnologia da Informação da.Portaria N° 14.
16 de 01 de 2008.
21. Navais, Comando de Operações. COMOPNAVINST nº34-02B. Normas para
Segurança Orgânica. Norma. Rio de Janeiro : Marinha do Brasil, 9 de 7 de 2003.
22. Armada, Estado-Maior da. EMA nº416. Doutrina de Tecnologia da Informação da
Marinha. Brasília : Marinha do Brasil, 18 de 12 de 2007.
67
APÊNDICE A
DOCUMENTAÇÃO SOBRE SI NA MB
Publicação
Assunto
Propósito
Estabelecer as normas para a salvaguarda de
materiais controlados, dados, informações,
documentos e materiais sigilosos na MB, bem
como das áreas e instalações onde tramitam,
incluindo os procedimentos das Comissões de
Avaliação para a sua renovação, reclassificação,
desclassificação e autorização de acesso.
EMA 414
Normas para a salvaguarda de
materiais controlados, dados,
informações, documentos e
materiais sigilosos na Marinha
EMA 416
(CONFIDENCIAL)
Doutrina de tecnologia da
informação da Marinha.
Estabelecer a Doutrina de Tecnologia da
Informação da Marinha, enunciar seus
conceitos, princípios básicos e diretrizes.
EMA 130 VOL II – 3ª
Revisão
Lista P8 (Processamento
de dados)
Manual de Visitas, Inspeções e
Reuniões
Funcionais
da
Marinha
Estabelecer as instruções básicas para a
realização de visitas do Almirantado, inspeções
administrativas-militares, reuniões funcionais e
visitas técnico-funcionais da Marinha.
Normas
administrativas
telecomunicações
Disseminar normas e procedimentos técnicoadministrativos adotados pela Diretoria de
Telecomunicações da Marinha, no que tange às
atividades técnicas e de gerência superior do
SISCOM atribuída ao Setor de Material da
Marinha.
DGMM 0501
DGMM 0520
COMOPNAVINST No 3402B (CONFIDENCIAL)
DCTIMARINST 21-01A
técnicode
Normas para a gestão de
segurança das informações
digitais em redes locais
Estabelecer normas, procedimentos e instruções
que deverão reger as atividades relacionadas à
Segurança das Informações Digitais em Redes
Locais da MB (SIDRL), complementando as
instruções contidas em outras publicações
correlatas em uso, devendo ser de conhecimento
de todo o pessoal credenciado e autorizado a
operar e manusear equipamentos conectados a
alguma rede local da MB.
Segurança Orgânica
Detalhar a organização e as medidas de
coordenação e fiscalização para as atividades de
Segurança Orgânica (SegOrg) na MB, de modo
a contribuir para o aprimoramento na sua
implementação,
bem
como
para
o
desenvolvimento de uma efetiva mentalidade de
SegOrg na MB.
Forense Computacional e
Registros de Acesso à Internet
Estabelecer os procedimentos para as
solicitações das atividades de perícia que
envolvam informações armazenadas em algum
tipo de recurso computacional de propriedade
da MB, como também padronizar a forma de
requisição e disponibilização de informações
sobre acessos à Internet por meio da RECIM.
68
APÊNDICE B
TERMO DE RESPONSABILIDADE INDIVIDUAL
MARINHA DO BRASIL
(NOME DA OM)
TERMO DE RESPONSABILIDADE INDIVIDUAL
(Local: cidade), _____ de ___________ de ______
Pelo presente instrumento, eu, (nome completo, NIP ou no da identidade) , perante a
Marinha do Brasil, doravante denominada MB, na qualidade de usuário do ambiente
computacional de propriedade daquela Instituição, declaro estar ciente das normas de
segurança das informações digitais da OM, segundo as quais devo:
(a) tratar a informação digital como patrimônio da MB e como um recurso que deva ter seu
sigilo preservado, em consonância com a legislação vigente;
(b) utilizar as informações disponíveis e os sistemas e produtos computacionais, dos quais a
MB é proprietária ou possui o direito de uso, exclusivamente para o interesse do serviço;
(c) preservar o conteúdo das informações sigilosas a que tiver acesso, sem divulgá-las para
pessoas não autorizadas;
(d) não tentar obter acesso à informação cujo grau de sigilo não seja compatível com a minha
Credencial de Segurança (CREDSEG) ou que eu não tenha autorização ou necessidade de
conhecer;
(e) não compartilhar o uso de senha com outros usuários;
(f) não me fazer passar por outro usuário usando a sua identificação de acesso e senha;
(g) não alterar o endereço de rede ou qualquer outro dado de identificação do
microcomputador de meu uso;
(h) instalar e utilizar em meu microcomputador somente programas homologados para uso na
MB e que esta possua as respectivas licenças de uso ou, no caso de programas de domínio
público, mediante autorização formal do Oficial de Segurança de Informações Digitais
(OSID) da OM;
(i) no caso de exoneração, demissão, licenciamento, término de prestação de serviço ou
qualquer tipo de afastamento, preservar o conteúdo das informações e documentos
sigilosos a que tive acesso e não divulgá-los para pessoas não autorizadas;
(j) guardar segredo das minhas autenticações de acesso (senhas) utilizadas no ambiente
computacional da OM, não cedendo, não transferindo, não divulgando e não permitindo o
seu conhecimento por terceiros;
(k) não utilizar senha com seqüência fácil ou óbvia de caracteres que facilite a sua descoberta
e não escrever a senha em lugares visíveis ou de fácil acesso;
69
(l) utilizar, ao me afastar momentaneamente da minha estação de trabalho, descanso de tela
(“screen saver”) protegido por senha, a fim de evitar que alguém possa ver as informações
que estejam disponíveis na tela do computador;
(m) ao me ausentar do local de trabalho, momentaneamente ou ao término de minhas
atividades diárias, certificar-me de que a sessão aberta no ambiente computacional com
minha identificação foi fechada e as informações que exigem sigilo foram adequadamente
salvaguardadas;
(n) seguir as orientações da área de informática da OM relativas à instalação, à manutenção e
ao uso adequado dos equipamentos, dos sistemas e dos programas do ambiente
computacional;
(o) comunicar imediatamente ao meu superior hierárquico e ao Oficial de Segurança das
Informações Digitais (OSID) da OM a ocorrência de qualquer evento que implique
ameaça ou impedimento de cumprir os procedimentos de segurança estabelecidos;
(p) responder, perante a MB, as auditorias e o Oficial de Segurança das Informações Digitais
(OSID) da OM, por acessos, tentativas de acessos ou uso indevido da informação digital
realizados com a minha identificação ou autenticação;
(q) não praticar quaisquer atos que possam afetar o sigilo ou a integridade da informação;
(r) estar ciente de que toda informação digital armazenada e processada no ambiente
computacional da OM pode ser auditada, como no caso de páginas informativas (“sites”)
visitadas por mim;
(s) não transmitir, copiar ou reter arquivos contendo textos, fotos, filmes ou quaisquer outros
registros que contrariem a moral, os bons costumes e a legislação vigente;
(t) não transferir qualquer tipo de arquivo que pertença à MB para outro local, seja por meio
magnético ou não, exceto no interesse do serviço e mediante autorização da autoridade
competente;
(u) estar ciente de que o processamento, o trâmite e o armazenamento de arquivos que não
sejam de interesse do serviço são expressamente proibidos no ambiente computacional da
OM;
(v) estar ciente de que a MB poderá auditar os arquivos em trâmite ou armazenados nos
equipamentos do ambiente computacional da OM sob meu uso ou responsabilidade;
(w) estar ciente de que o correio eletrônico é de uso exclusivo para o interesse do serviço e
qualquer correspondência eletrônica originada ou retransmitida no ambiente
computacional da OM deve obedecer a este preceito; e
(x) estar ciente de que a MB poderá auditar as correspondências eletrônicas originadas ou
retransmitidas por mim no ambiente computacional da OM.
Desta forma, estou ciente da minha responsabilidade pelas conseqüências decorrentes
da não observância do acima exposto e da legislação vigente.
________________________________
Assinatura
Nome Completo, NIP ou no da
identidade
___________________________________________________________________________
70
APÊNDICE C
TERMO DE RECEBIMENTO DE ESTAÇÃO DE TRABALHO
MARINHA DO BRASIL
(NOME DA OM)
TERMO DE RECEBIMENTO DE ESTAÇÃO DE TRABALHO
(Local: cidade), _____ de ___________ de ______
Pelo presente instrumento, eu, (nome completo, NIP ou no da identidade) , perante a
Marinha do Brasil, doravante denominada MB, na qualidade de usuário do ambiente computacional de
propriedade daquela Instituição, declaro ter recebido desta OM uma estação de trabalho com as
seguintes configurações:
I – de identificação:
(a) endereço IP: (especificar o endereço IP da máquina);
(b) endereço físico de rede: (especificar a identificação exclusiva da placa de rede da máquina);
e
(c) identificação da máquina: (especificar o nome e outros dados de identificação da máquina).
II – de instalação de programas:
(a) (especificar cada um dos programas pré-instalados);
(b) ...
III – de senha de acesso à máquina (“boot”), inicialmente estabelecida pelo Administrador da Rede
Local (ADMIN) da OM e por mim alterada, sendo agora de meu conhecimento exclusivo; e
IV – de senha de configuração (“setup”), de conhecimento exclusivo do ADMIN e à qual não devo
tomar conhecimento.
Assim, quaisquer alterações ou inclusões nos dados acima são de minha inteira
responsabilidade e devem ser previamente autorizadas pelo Oficial de Segurança das Informações
Digitais (OSID), conforme previsto nas normas de Segurança das Informações Digitais da OM.
Estou ciente que o ADMIN (executou / não executou) a “formatação” prévia dos discos
rígidos da referida estação de trabalho e sua correspondente reconfiguração e que, a qualquer momento
e sempre que julgar necessário, poderei solicitar ao ADMIN auxílio para a realização dessa
“formatação”, de modo a garantir a configuração padronizada da OM e a inexistência de arquivos ou
programas irregulares.
_________________________________
Assinatura
Nome Completo, NIP ou no da
identidade
71
APÊNDICE D
HISTÓRICO DA REDE LOCAL – INCIDENTES
CONFIDENCIAL
MARINHA DO BRASIL
NOME DA OM
HISTÓRICO DA REDE LOCAL – INCIDENTES
INCIDENTE NA REDE LOCAL No: ________________ (a ser preenchido pelo OSID)
1-
Responsável pela informação do incidente: ____________________________________________
Função: ________________________________________________________________________
2- Data e hora do Incidente: ______ / ________ / ________ - ________ horas
Data e hora do relato: ______ / ________ / _________ - ________ horas
3- Relato do incidente:
(relatar detalhadamente o incidente, utilizando quantas linhas forem necessárias)
4- Comentários, Análise sobre o Incidente e respectivas correções:
(escrever detalhadamente, utilizando quantas linhas forem necessárias)
5- Afetou algum Recurso Computacional Crítico (RCC) Nível 1?
( )sim ( )não
Data: _____/______/______
Assinatura do OSID: ___________________________________________________
Ratificação pelo Titular da OM: ___________________________________________
CONFIDENCIAL
- no da página -
72
APÊNDICE E
ANÁLISE DE RISCOS E VULNERABILIDADES
CONFIDENCIAL
MARINHA DO BRASIL
NOME DA OM
HISTÓRICO DA REDE LOCAL - ANÁLISE DE RISCOS E VULNERABILIDADES
ANÁLISE DE RISCOS E VULNERABILIDADES no : ______- Data ___/___/___
Identificação do Elaborador: __________________
PARTE 1 - VULNERABILIDADES FÍSICAS
Item Avaliado
Vulnerabilidade avaliada
F.1 - Infra-estrutura elétrica da sala dos F.1.1 - O prédio possui pára-raios, e o
servidores.
cabo condutor deste está localizado a
menos de 20m da sala dos servidores.
Existe sistema de aterramento com
manutenção deficiente.
F.1.2 - A sala dos servidores possui uma
rede elétrica estabilizada, protegida
contra falta de energia por um sistema
“No-Break”. Existe grupo moto-gerador
que suporte interrupções prolongadas de
energia e são realizados, periodicamente,
testes nesses equipamentos
F.2 - Meio físico utilizado na rede local. F.2.1 - Os cabos UTP da rede local estão
passando por canaletas condutoras
inadequadas e/ou estão desprotegidos,
em paralelo à rede elétrica.
Nível de Segurança
F.1.1 = nível de segurança 6
PARTE 2 - VULNERABILIDADES LÓGICAS
Item Avaliado
L.1 - Portas TCP/UDP de acesso aos L.1.1 - Foi verificada quantidade
serviços nos servidores.
excessiva de portas TCP/UDP abertas,
desnecessariamente, no servidor de
correio eletrônico. Não existe controle
sobre quais portas TCP/UDP fechar ou
deixar abertas.
L.2 - Barreiras de proteção (“firewall”) L.2.1 - Apenas 10% das estações de
nas estações de trabalho.
trabalho possuem “firewall” pessoal.
L.2.2 - Não há uma padronização para
os filtros dos firewall de estação.
Nível de Segurança
L.1.1 = nível de segurança 0
PARTE 3 - COMPARAÇÃO COM ANÁLISE ANTERIOR
Item Avaliado
Níveis de Segurança
Causas para melhoria ou
piora
F.1- Infra-estrutura elétrica da F.1.1 - O prédio possui pára- F.1.1 – Anterior: nível de F.1.1 - A manutenção
sala dos servidores.
raios, e o cabo condutor deste segurança 8.
deficiente piorou a situação
está localizado a menos de Atual: nível de segurança 6.
do sistema de aterramento.
20m da sala dos servidores.
Existe sistema de aterramento
com manutenção deficiente.
OSID
CONFIDENCIAL
- no da página -

avaliação de conformidade a modelos de gestão de segurança da

Transcrição

Documentos relacionados

19 -Museu da Marinha

universidade cndido mendes (ucam)

Ferritin - Wiener lab.

cores e marcas dos recrutas e marujos da armada, c. 1822-c

regulamento rallye vidreiro 2015

NBR 14039 e 5410

auditoria interna e a gestão de riscos em instituições financeiras

PowerPoint - Marine Technology Society

universidade municipal de são caetano do sul manual de

Balanço Social 2008_Completo_Baixa

Isoladores de suspensão e ancoragem em silicone, tipo

Unidade II

1/2 28º Congresso Brasileiro de Engenharia Sanitária e Ambiental

coordenadoria do programa de reaparelhamento da marinha

Da longa e bem elaborada mensagem

JOGOS DIGITAIS

Riachuelo - Revista Marítima Brasileira

Editorial - Revista Marítima Brasileira

REVISTA MARÍTIMA BRASILEIRA

REVISTA MARÍTIMA BRASILEIRA

Informações - Revista Marítima Brasileira

ferry-boat Herald of Free - Revista Marítima Brasileira