Segurança e Auditoria de

Sistemas de InformaçãoProf. Rêmulo Maia

Período: 2015/1

AAlunos Empresa

Cristiano Mesquita Garcia (201010706)

Eduardo Almeida Soares (201020439)

Elder Ferreira (200920461)

Rodrigo Tavares Coimbra (201410761)

A Organização

A Empresa

A HI Transportes tem por razão social o nome de HI Transportes LTDA. Foi

fundada em 1982, atuando na área de transportes de carga granel. Hoje, a empresa é

considerada de médio porte, contando com um quadro de aproximadamente 272

funcionários, sendo 166 motoristas e 106 funcionários administrativos. A HI possui, ainda, um

faturamento anual aproximado de R$ 72 milhões.

A Empresa presta serviços na área de transporte de granéis sólidos minerais, químicos e

agrícolas. Atua também no transporte de produtos perigosos e matérias-primas para

indústrias química, siderúrgicas, de cimento, de papel e celulose, fertilizantes, usinas de

açúcar e álcool, entre outras.

Atualmente, tem como principais clientes: AngloAmerican, AcelorMittal, Belocal,

Heringer, Gerdau, Imerys, InterCement, Lafarge, Petrocoque, Samarco, Suzano, Tortuga,

Usiminas e Votorantim.

Como principais concorrentes, a HI considera: CESARoma Transportes e Rodolatina

Transportes.

Cenário

A empresa possui sua matriz situada na cidade de Lavras/MG. a HI Transportes atua nas

regiões Sudeste e Centro-Oeste, com filiais em Atibaia/SP, Cubatão/SP, Ipatinga/MG, São

José da Lapa/MG, Perdões/MG e Barro Alto/GO.

A HI tem como política a busca permanente pela eficácia e qualidade na prestação dos

serviços de transporte, de forma sustentável, acreditando no comprometimento de seus

colaboradores, zelando pela saúde, segurança, patrimônio, meio ambiente, responsabilidade

social, respeitando os clientes e a legislação aplicável, em prol de melhorias contínuas de

seus processos, através da inovação de seus equipamentos.

Missão, Visão e Valores

● Missão

“Conduzir seus negócios com responsabilidade, oferecendo transporte rodoviário de

carga, priorizando a satisfação do cliente e relações duradouras. Garantindo qualidade,

segurança, eficiência e fidelidade no serviço prestado.”

1

● Visão

“Ser empresa referência no mercado nacional de transporte de carga.”

● Valores

“Ética e transparência na condução de seus negócios. Respeito em relacionamentos internos

e externos. Comprometimento com o desenvolvimento sustentável. Honestidade como

princípio básico para gerir o patrimônio humano e físico.”

Organograma

O organograma completo da HI Transportes é mostrado na Figura 1. Já o organograma

específico da área de TI, contendo o Coordenador de TI, Analista de TI e Sistemas, Estagiário

e Consultor é mostrado na Figura 2.

Figura 1: Organograma completo da HI Transportes Ltda.

2

Figura 2: Organograma área de TI

Funções e Responsabilidades do gestor de Segurança da

Informação

A responsabilidade sobre a Segurança da Informação é distribuída entre os integrantes da

Tecnologia da Informação, especialmente entre o Analista de TI e Sistemas e o Consultor. As

atribuições do Analista de TI, que foi o entrevistado, são, entre outras:

● Monitoramento de Servidores;● Monitoramento de Controladores de Rede;● Análise de Desempenho de Servidores e Rede;● Gerência instalação e manutenção de softwares nos servidores;● Coordenação da equipe de suporte ao ERP e ao TMS (Track Management

System).

Tecnologia de Informação

A TI na HI

O Departamento de Tecnologia da Informação, conta com 3 (três) funcionários

próprios: um Coordenador de TI & Sistemas, um Analista de TI & Sistemas e um

Estagiário. Há também um consultor para tratar da parte de infra-estrutura

(Servidores/Rede).

3

A HI Transportes possui 40 computadores na matriz, sendo 3 servidores, 3 patch

panels e 1 switch Dell. A empresa também possui um software de gestão chamado

Visual Rodopar, bem como um sistema de folha de pagamento, como será apresentado na

próxima Seção.

Sistemas de Informação

A HI Transportes conta com 2 (dois) Sistemas de Informação para auxílio na gestão das

atividades operações e estratégicas. São eles:

Visual Rodopar

Visual Rodopar é um sistema de gestão avançado que permite o gerenciamento de transporte

de cargas e logística para empresas de qualquer tamanho. O sistema foi adquirido

juntamente com os módulos de controle ERP (Enterprise Resource Planning), WMS

(Warehouse Management System, para gerência de armazéns e carga), TMS (Track

Management System, para rastreio de caminhões e cargas) e BI (Business Intelligence). Este

sistema é utilizado em todos os setores da empresa, auxiliando desde a entrega da carga até

mesmo no cálculo de combustível. A exceção da utilização do sistema é apenas por parte

folha de pagamento dos funcionários.

ADP Folha

ADP Folha é um sistema Web de controle de ponto e gestão da folha de pagamento dos

funcionários, onde é gerenciado o histórico de pagamentos, cálculo de acordos sindicais,

recálculo de salário por grupo de funcionários, geração de guias de recolhimento, entre

outras atividades.

Além destes sistemas, a HI Transportes conta também com um sistema de

rastreamento tempo-real via satélite da frota da empresa: o OnixSat. Com este sistema,

também é possível fazer bloqueios, emitir alertas e trocar mensagens com o motorista.

A HI conta com outros sistemas auxiliares, como o AMANDA, utilizado para Backup;Google for Work, utilizado para emails, criação e compartilhamento de documentos;Google Vault, para auditoria de emails e conversas utilizando Google Hangout; e o próprioGoogle Hangout, para chamadas e vídeo conferências.

4

Diagnóstico da Gestão de Seg. da InformaçãoFoi utilizada a ISO 27002 como guia, foram avaliados os seguintes pontos, com seu

respectivo número de seção na norma e com sua capacidade avaliada de acordo com o

framework COBIT 5:

5 - Política de Segurança da Informação

Este item diz respeito à criação de um documento de política de segurança da

informação aprovado pela direção e comunicado aos funcionários. Na empresa não existe um

documento como este. Logo, este processo se encontra incompleto.

6 - Organizando a Segurança da Informação

Este item refere-se ao comprometimento da direção, à atribuição de

responsabilidades sobre a SI, acordos de confidencialidade, e contato com autoridades e

grupos especiais (especialistas), além da identificação de riscos relacionados às partes

externas.

Neste quesito, as atribuições são definidas e estão sobre o Analista de TI e

Sistemas e o consultor externo. Há um início de comprometimento da direção com a SI. Não

há acordos de confidencialidade, e os contatos com autoridades e grupos especiais ficam por

conta do consultor em segurança. Neste caso, o processo é considerado realizado, pois

existe e é executado, no entanto tem muito o que melhorar.

7 - Gestão de Ativos

Diz respeito à responsabilidade por ativos e classificação da informação. Quanto à

responsabilidade sobre os ativos, ela está sobre o Analista de TI e Sistemas, que gerencia os

ativos, embora não haja nada formalizado, portanto, realizado. No entanto, quanto à

classificação da informação, não existe nada especificado, sendo classificado como

incompleto. Pesando ambos para uma única saída, temos que a gestão de ativos é

considerada incompleta.

8 - Segurança em Recursos Humanos

No que se refere à segurança em recursos humanos, a função deste controle é

documentar papéis e responsabilidades antes, durante e após a contratação de pessoal, a fim

de reduzir o risco de roubo, fraude ou mau uso de recursos. Neste ponto, também não há

5

nada documentado em sua maioria. Segundo o Analista de TI e Sistemas, os funcionários são

orientados a não deixar o recinto com informações importantes à mostra, computador

desbloqueado, entre outros pontos. Além desta, não há nenhum outro tipo de

conscientização. As permissões de acesso aos sistemas são revogadas com a saída do

funcionário da empresa. Este processo foi classificado como incompleto.

9 - Segurança Física e do Ambiente

Neste ponto, que também inclui a segurança de equipamentos, ainda há muito o

que se fazer. A construção da empresa é muito aberta, embora conte com portão eletrônico,

câmeras de vigilância e vigias noturnos. Há terrenos baldios nas redondezas, e a construção

não tem muros na frente. A estrutura se assemelha mais a de um escritório.

Quanto aos equipamentos, não há nenhum dispositivo, como cadeados, para

impedir roubo. Há um cofre, onde fica armazenado o backup extra. O descarte de

equipamentos como disco rígido é realizado somente após a formatação completa. Este

processo é considerado realizado.

10 - Gerenciamento das Operações e Comunicações

No que diz respeito ao gerenciamento das operações e comunicações, não há

documentação que regulamente as operações dentro do contexto da organização, como por

exemplo os critérios de aceitação para novos sistemas e atualizações.

Na proteção da integridade dos softwares e da informação, existe a proteção com o auxílio de

antivírus e um firewall, além do monitoramento por parte do Analista e do Consultor externo.

São realizados 5 backups durante o dia. Um dos backups é armazenado em um cofre físico. A

segurança de serviços de redes é monitorada pelo Analista de TI e Sistemas, mas o Consultor

também auxilia na verificação.

As mensagens eletrônicas e conversas do Google Hangout são armazenadas e

podem ser auditadas com a ajuda da ferramenta Google Vault.

Este processo foi avaliado como realizado, porém não existe nada formalizado.

11 - Controle de Acesso

Os privilégios são gerenciados também pelo Analista de TI e Sistemas, porém há

pouca conscientização sobre a utilização de senhas fortes e a análise crítica dos direitos de

acesso de usuário.

6

Há política de mesa limpa devido a treinamentos, como em 5S. Os usuários

possuem ID único de uso intransferível e os Sistemas Operacionais são programados para

fazer logoff por inatividade. Este processo foi avaliado como incompleto.

12 - Aquisição, Desenvolvimento e Manutenção de Sistemas de

Informação

Os sistemas que foram adquiridos já são utilizados em/por outras empresas, o que

trouxe a suposição que o sistema funciona corretamente. Como não existe desenvolvimento e

manutenção de Sistemas de Informação na empresa, este processo foi avaliado como

incompleto.

13 - Gestão de Incidentes de Segurança da Informação

Eventos de segurança são monitorados através do monitoramento de rotina

realizado pelo Analista de TI e Sistemas, porém não há uma documentação para o

aprendizado nem documentação de evidências. Este processo foi avaliado como realizado.

14 - Gestão da Continuidade do Negócio

Não há uma gestão de continuidade de negócio. Mesmo para o backup que é guardado num

cofre, não há uma cópia redundante em outra localização para o caso de uma catástrofe.

Este processo foi avaliado como incompleto.

A tabela abaixo resume a situação dos níveis de capacidade da Segurança da Informação

na Empresa, de acordo com o COBIT 5.

Cód Processo Nível de Capacidade

Incompleto Realizado Gerenciado Estabelecido Previsível Em Otimização

5 Política deSegurança daInformação

X

6 Organizando aSegurança daInformação

X

7 Gestão de Ativos X

7

8 Segurança emRecursos Humanos X

11 Segurança Física edo Ambiente X

10 Gerenciamento dasOperações eComunicações

X

11 Controle de Acesso X12 Aquisição,

Desenvolvimento eManutenção deSistemas deInformação

X

13 Gestão deIncidentes deSegurança daInformação

X

14 Gestão daContinuidade do

NegócioX

Como é planejado o investimento em SI da empresa

O investimento em segurança da informação na empresa HI Transportes ocorre por

demanda, ou seja o capital investido é de acordo com as necessidades do negócio da

empresa.

Como as decisões são tomadas

Segundo o Analista de Sistemas, as decisões da empresa relacionadas a segurança da

informação são tomadas conforme os problemas ocorrem, não possuindo então um padrão

para tal devido a falta de planejamento em SI.

Como se garante segurança, quais as formas de controle, como

se administra, como se investe, como se controla o patrimônio

e as atividades utilizando a TI?

A HI transporte utiliza vários recursos tecnológicos como uma forma de controle de

segurança da informação. Será detalhado abaixo, os mecanismos que ela utiliza conforme

8

descrito pelo analista de sistemas da organização:

Para previnir ataques de intrusos a suas preciosas informações a empresa utiliza um

Firewall UTM da empresa BluePex, que é uma evolução do firewall tradicional, unindo a

execução de várias funções de segurança em um único dispositivo. Esta unificação das

funções permite o gerenciamento da segurança em um único painel, facilitando a prevenção,

detecção e ação contra ameaças de variadas fontes. O UTM também garante que as soluções

de segurança encontradas nele sejam compatíveis e complementares, diminuindo brechas ou

falhas de segurança.

Há também na empresa um sistema de backup denominado AMANDA. Sistema no qual

possuí livre distribuição e necessita de um servidor de sistema Linux para instalação. Através

dessa ferramenta todas as informações da organização são gravadas diariamente em fitas

LTO (Linear Tape-Open), que é um padrão que foi desenvolvido pela Hewlett-Packard, IBM e

Certance com objetivo de atender a servidores de médio porte.

Para a segurança e controle de sua frota de veículos, a HI transportes utiliza o sistema de

rastreamento via satélite OnixSat, que possibilita monitorar o status de sua frota em tempo

real, permitindo verificar a localização de veículos no mapa, bem como os principais pontos

de referência: postos policiais, postos de combustível e assistências técnicas autorizadas.

Outra vantagem é a possibilidade de se obter relatórios para análise de mensagens, posições,

comandos e alertas recebidos e enviados para o motorista, Além de possibilitar a

comunicação entre operador e motorista através de macros no computador de bordo.

Na matriz da empresa, há um backup de todas as máquinas disponíveis, através de um

perfil denominado "nômade", possibilitando que usuário veja em seu desktop apenas um

espelho de toda informação que está contida no servidor, sendo que o backup Amanda faz a

segurança de toda informação uma vez ao dia.

Todos os e-mails da organização são auditorados por uma ferramenta denominada VAULT

que é fornecida pela Google. O Google Apps Vault é um complemento do Google Apps que

permite reter, arquivar, pesquisar e exportar as mensagens de e-mail e bate-papo de toda

organização de acordo com as necessidades de compliance e descoberta eletrônica. também

permitindo que o usário pesquise e exporte os arquivos da organização no Google Drive. O

Google Apps Vault é inteiramente baseado na Web, portanto não há necessidade de fazer

nenhuma instalação ou manutenção de software.

Há também na empresa um antívirus, Symantec, que é responsável pelo controle de

dispositivos móveis, de arquivo nos computadores da organização, evitando ameaças. O

antivírus Symantec possuí excelente desempenho e gerenciamento inteligente para

ambientes físicos e virtuais. Utilizando a maior rede de informações globais do mundo inteiro,

9

a Symantec identificando proativamente arquivos em risco e interrompendo ameaças de dia

zero sem prejudicar o desempenho dos computadores da organização.

Qualquer computador que queira se conectar ao domínio da organização é forçado a

instalar o antivírus Symantec por questões de segurança. Logo, os visitantes necessitam de

uma rede paralela para se conectarem a Web quando dentro da organização, o que protege a

rede principal.

O backup completo do banco de dados da HI transportes ocorre à 00:00h, paralelamente

ocorrem 4 backups diferenciais a cada 6 horas, para a segurança completa da informação.

Por medida de segurança, os logs de modificação do sistemas são gravados a cada hora no

banco de dados. Todos os backups realizados, são armazenados em um servidor paralelo, no

qual a cada início de “turno” do departamento de tecnologia da informação, são transferidos

para um disco rígido externo onde é depositado em um cofre da empresa.

Elaboração do PESI (Plano Estratégico de Segurança da

Informação)

Plano Estratégico de Segurança da Informação

Código de Registro: PESI - 001

data : 26/05/2015

Localidade : Lavras - Minas Gerais

Assunto : Plano estratégico de Segurança da Informação - HI transportes

Elaborado por : Grupo 04

1 Disposições Iniciais

1.1 Finalidade

Este documento tem por finalidade apresentar o planejamento estratégico de

Segurança da Informação para empresa HI Transportes.

1.2 Metodologia

10

O processo de preparação do plano estratégico de Segurança da Informação,

englobou as seguintes etapas:

1. Reunião para entendimento do projeto e definição de escopo

2. Planejamento de entrevistas com a alta direção

3. Extração dos requisitos com a alta direção

4. Definição do modelo de Gestão de SI.

5. Mapeamento das áreas de Negócio

6. Diagnóstico de governança de SI e gestão de SI

7. Realização da analise e avaliação de riscos.

2 Diagnósticos da Segurança da Informação

Nesta etapa tem-se que identiticar cada área da organização e posteriormente identificar

os responsáveis por cada área e sua relevância para os seus objetivos estratégicos.

2.1 Mapeamento da Organização

Nome do processo Área Responsável Relevância

Vendas Comercial Dir. Com&Oper Muito alta

Faturamento Financeira Dir. Admi.Financ Muito alta

Logística Transporte Dir. Com&Ope Altíssima

Marketing Comercial Ger. Admi.Financ Média

Licitações Jurídica Dir. Jurídico Muito Alta

2.2 Análise sobre a Governança de SI

Análise da escala de relevância do processo da área da organização

Mapeamento Área/Processo Classificação do

Impacto

Classificação da

Prioridade

Relevância Criticidade

Processo Rel. Processo C I D G U T

Comercial Vendas MA MA MA A AT AT A MA A

Financeira Faturamento MA MA MA MA AT AT A MA A

Transporte Logística MA MA MA MA AT AT A AT AT

11

Comunicação Marketing M M M M B M A M M

Jurídicas Contrato A MA MA MA MA AT A MA A

Para facilitar a disposição dos dados da tabela acima, foi construído um esquema de siglas

para a legenda:

Siglas:

C Confidencialidade AT Altíssimo

I Integridade MA Muito Alto

D Disponibilidade A Alto

G Gravidade M Médio

U Urgência B Baixo

T Tendência MB Muito baixo

Consolidação dos resultados do estudo de impacto

e prioridade

3 Posicionamento estratégico de SI

3.1 Missão e Visão

Missão: Prover segurança eficiente às informações da organização, propondo soluções de

tecnologia da informação para garantia de tal, assegurando o alinhamento do negócio com os

objetivos de Segurança da Informação e garantindo continuidade do negócio.

Visão: Ser empresa atualizada quanto as questões de Segurança da Informação, alinhando as

questões de Segurança da Informação com os objetivos de negócio.

3.2 Objetivos de Segurança da Informação

1 Objetivo: Proteção das áreas críticas da organização contras possíveis ataques e ameaças,

implantando controles de Segurança da Informação, para que se possa garantir a integridade

12

destas.

2 Objetivo: Não permitir a interrupção das atividades dos processos organizacionais,

garantindo a continuidade do negócio, protegendo os processos críticos contra falhas,

ameaças ou desastres, garantindo a retomada das ações em tempo considerável.

3 Objetivo: Implantação de Governança de Segurança da Informação, que estabeleça

diretrizes gerais de Segurança da Informação.

4 Objetivo: Educação, treinamento e conscientização dos recursos humanos quantos as

questões relacionadas com a Segurança da Informação.

3.3 Matriz dos objetivos estratégicos X objetivos de SI

13

4. Implantação do Plano Estratégico deSegurança da Informação

4.1 Plano de Ação

14

15

4.2 Período de Planejamento

4.3 Fatores Críticos de Sucesso

- Apoio político e financeiro da empresa, para que se possam ser desenvolvidas as

etapas de ações de Segurança da Informação

- Divulgação da Segurança da Informação no âmbito empresarial de modo claro e

eficiente

- Entendimento da Segurança da Informação como parte do planejamento

estratégico da empresa

- Treinamento adequado para certificação de Segurança da Informação

- Aquisição da infraestrutura necessária para implementação do plano de ação.

- Estrutura de gerenciamento de Segurança da Informação.

5 Aprovação

Aprovado por :______________________________________________

Presidente do comitê de SI

16

ConclusãoA HI Transportes Ltda. é uma empresa que atua no ramo de transporte de granéis. Apesar

de ser uma empresa em franco crescimento, com muitos funcionários e diversas filiais, deixa

a desejar quanto às questões relacionadas à Segurança da Informação. Como previsto, a

segurança da informação é tratada pela empresa mais como um gasto do que como

investimento.

O objetivo deste trabalho foi propor uma série de ações de melhoria da Segurança da

Informação na organização, utilizando como base as normas internacionais ISO/IEC 27002,

avaliando os processos de segurança da informação com auxílio do COBIT 5.

Este trabalho foi de grande valia para os integrantes do grupo 4, que puderam estar em

contato direto com segurança da informação em uma empresa do mundo real, analisando e

sugerindo melhorias de acordo com o conhecimento obtido no decorrer do semestre. Esta

experiência prática proporcionou uma visão mais ampla e profunda sobre as questões de

Segurança da Informação, que até então passam despercebidas.

O plano de ação resultante do trabalho será entregue aos profissionais responsáveis pela

tecnologia da informação na empresa objeto de estudo.

17

Apêndice 

Perguntas levantadas para HI Transportes  

1. Qual o ramo de negócio da HI Transportes? 2. Existem filiais? Se sim, onde?  3. Desde quando a empresa existe?  4. Quantos funcionários?  5. Quem são os principais clientes?  6. Quem são os principais concorrentes?  7. Quais são os principais produtos transportados?  8. Qual o faturamento anual da empresa?  9. Existem missão, visão e valores da empresa? Se sim, quais são?  10. Como os funcionários estão organizados na empresa?  11. Como é organizada a TI? 12. Quais são os sistemas de informação utilizados pela empresa? 13. Vocês possuem ferramentas ou equipamentos auxiliares? Se sim, quais? 14. Quais/quantos equipamentos vocês possuem? 15. Quem são os responsáveis pela Seg. da Informação? 16. Existem treinamentos em Seg. da Inf.  dos funcionários? 17. Como a empresa protege suas informações? 18. Como a empresa enxerga as questoes de Seg. da Informação? Como e quanto é 

investido? 19. Existem políticas de segurança da informação? De quanto em quanto tempo estas 

políticas são revisadas? 20. A direção é comprometida com a segurança da informação na empresa? 21. As atribuições de responsabilidades sobre a segurança da informação são 

formalmente definidas? 22. Como é tratada a proteção da informação? 23. Os profissionais responsáveis pela Seg. da Informação se mantém atualizados? 24. Existe acessos externo aos dados da empresa? VPN 25. Os equipamentos são identificados e gerenciados? Quem é responsável pela 

gerência dos ativos? Existe uma documentação que regula o uso de informações e ativos? 

26. Os equipamentos são classificados por ordem de importância? 27. Os funcionários recém contratados recebem instruções sobre proteção da 

informação? Eles são informados sobre suas responsabilidades e sobre o que uma quebra de sigilo pode acarretar? Eles assinam um termo de sigilo sobre as informações? 

28. Quando os funcionários são demitidos, suas permissões são revogadas? 29. A rede interna possui algum tipo de proteção? 30. Existe uma manutenção preventiva dos equipamentos? 31. Existe alguma política de descarte de equipamentos? 32. Existem políticas que objetivam minimizar as falhas nos sistemas? 33. Existe alguma política de aceitação e validação de sistemas? 

34. Existem políticas para proteger a integridade de software e das informações? 35. Vocês realizam atividades de backup? Como são feitos? Qual a frequência? Onde 

voces armazenam o backup? 36. Existe política de utilização de mídias pessoas nos computadores da empresa? 37. Existe algum mecanismo que monitora o envio de email e troca de mensanges? 38. Existem registros de auditoria? 39. Os relógios são sincronizados? 40. As permissões dos usuários são analisadas criticamente de tempos em tempos? 41. Existe uma orientação sobre utilização de senhas seguras? 42. Existem equipamentos sem monitoramento? 43. Existe política de mesa limpa e tela limpa? 44. Os usuários possuem ID único? 45. Existe política de análise e especificação de requisitos de segurança para 

aquisição de novos sistemas? 46. Os SO são atualizados periodicamente? 47. Eventos de segurança da informapção são notificados à direção? 48. Existe uma gestão de conhecimentos para as lições aprendidas com as incidentes 

de segurança da informação? 49. Existem mecanismos que garantam a continuidade do negócio? 50. Existe um plano de continuidade de negócio? Ele é revisado periodicamente? 51. Quantos e quais são os departamentos da empresa?  52. Qual seria a gravidade de uma falha de segurança em cada departamento? 53. Qual a urgência na correção de uma falha de segurança em cada departamento? 54. O quão grave é uma falha de confidencialidade em cada departamento? 55. O quão grave é uma falha de integridade em cada departamento? 56. O quão grave é uma falha de disponibilidade em cada departamento?