LA VALIDITE DE LA RECHERCHE EXPLIQUEE PAR LA FORCE DU RESEAU DU CHERCHEUR

Como exemplo de aplicação do processo das Micro-políticas, apresentaremos um exemplo típico de elaboração de uma Micro-política de Segurança da Informação em PABX31 para uma organização.

Todas as atividades, papéis e artefatos citados no desenvolvimento dessa Micro-política possuem definição no Anexo A dessa Dissertação.

Seguindo a estrutura do Processo Unificado para Políticas de Segurança da Informação – PUPSI, para iniciarmos a elaboração de uma Micro-política, a Macro-política, bem como todas as Meta-políticas de S.I., já deve ter sido implementada. Dessa forma, deve ser do conhecimento de todos os colaboradores: os conceitos sobre S.I. e sua importância para a organização; o responsável pelo domínio de segurança da informação no qual o PABX está inserido; os procedimentos para realização da Análise de Risco e Vulnerabilidade, bem como os procedimentos de classificação das informações na organização; os integrantes do Conselho de Segurança; o conteúdo dos documentos da Macro-política de S.I. e das Meta- políticas de S.I.

Neste etapa de implementação do processo, já deve ter sido divulgado para os colaboradores o Plano de Trabalho do PUPSI e o Plano de Iteração da Fase de Construção, contendo o cronograma da elaboração das Micro-políticas na organização.

Iniciando o processo de elaboração da Micro-política de PABX.

PLANEJAMENTO. No início de planejamento, o CIO responsável pelo domínio deve ter em mãos alguns Documentos de Referência, de natureza técnica, que serão consultados durante o

31 _{PABX- Private Automatic Branch Exchange ou Central de Comutação Automática Privada é a central} telefônica que se utiliza de microprocessadores e possuem programa armazenado para realização das suas funções.

processo. Citamos alguns: topologia da rede de PABX, indicando as rotas32 e troncos33 existentes e centrais públicas ou privadas diretamente conectadas ao PABX, objeto da política; diagrama da rede de dutos que suportam os cabos de telefonia da área envolvida; diagrama da rede de todos os ramais, indicando a interligação física do(s) par(es) de cada ramal; relação das facilidades34 disponíveis para cada categoria de ramal; lista de todos os ramais e seus respectivos usuários e categoria associada; dentre outros.

O CIO responsável (em sintonia com o Conselho de Segurança) deve definir o foco da Micro-política, para que sua aplicação seja conveniente, por exemplo: se é para todos os PABX´s da organização ou se é para algum caso específico de uma área estratégica da organização (por exemplo, pesquisa e desenvolvimento).

Deve-se convocar a Equipe de Análise de Risco35, a qual executará as seguintes atividades: • Análise de sensibilidade dos ativos, classificando as informações da organização que

trafegam nos ramais e a correspondente identificação e classificação dos ativos envolvidos no processo da ligação telefônica (exemplos: aparelho telefônico, DI36, DG37, armário de telecomunicações38, rede de cabos, hardware da central), deve ser levado em consideração os aspectos de confidencialidade, integridade e disponibilidade; • Análise de ameaças e vulnerabilidades dos ativos, realizadas com base em

questionários, entrevistas com os colaboradores e evidências coletadas, identificando potenciais agentes (exemplos: contratados funcionários insatisfeitos, visitantes, concorrentes, ratos, etc), eventos de ameaça (exemplos: eventos da natureza- raios e inundações, escuta telefônica em DI´s, DG´s ou armários, escuta telefônica em telefone sem fio, escuta telefônica presencial, alteração na configuração do PABX, etc) e a probabilidade deles ocorrem, bem como as vulnerabilidade (exemplos: DI´s,DG´s e armários abertos, uso de telefone sem fio convencional, conversa em viva voz, senha fraca ou inexistente de acesso a console do PABX, etc) a serem exploradas;

32

Rotas são caminhos possíveis para se realizar uma conexão entre o ramal chamador (origem) e o ramal destino.

33

Troncos são circuitos que interligam duas centrais telefônicas, por onde é estabelecido uma conexão.

34

Facilidades são recursos disponíveis nas centrais telefônicas os quais podem ou não serem permitidos para determinados ramal. São exemplos de facilidade : originar /receber ligações de outra central( central pública por exemplo), redirecionar chamadas, correio de voz etc.

35

Papel definido pelo PUPSI, veja descrição no Anexo A.

36

Distribuidor Interno, local de concentração setorial dos pares metálicos dos ramais onde são fetas as interligações entre os pares dos cabos (pode ser um por andar, por bloco de salas, por ala etc)

37

Distribuidor Geral, quadro que concentra os pares metálicos de ramal que vêm dos DI´s.

38

Armário de Telecomunicações, ponto de interconexão de pares de telefonia, podendo assumir a função do D.G. ou do D.I..

• Análise de riscos e tolerância dos ativos, nesse caso sugerimos uma análise qualitativa dos riscos, tal análise subsidiará a seleção adequada dos controles. Devem ser feitas reuniões com os gerentes de cada área ou setor afim de validar os relatórios, consolidação das entrevistas e pesquisas. Ainda nesta atividade é gerado um relatório contendo os controles a serem implementados, objetivando garantir os requisitos de segurança nos níveis desejados (exemplos : inibir o acesso à DI´s,DG´s e armários de telecomunicações, evitar que telefones sem fio intercepte ligações de outros telefones, proibir o acesso físico sem autorização ao PABX, proibir o acesso lógico ao PABX). SELEÇÃO DAS PROTEÇÕES. Neste momento o CIO convoca a Equipe de Implantação39. É então iniciada a atividade de Seleção da Proteções, ou seja, tecnologias ou mecanismos que irão operacionalizar os controles identificados na etapa anterior (Planejamento). Faz parte dessa etapa o estudo de viabilidade técnica e econômica, onde a relação custo / benefício é considerada, observando o grau de aceitabilidade de riscos residuais. Como exemplo: cadeados para serem colocados nos DI´s, DG´s e armários de telecomunicações, utilização da tecnologia DECT40- Digital Enhanced Cordless Telecommunications em substituição dos aparelhos sem fio convencionais, utilização de aparelhos com criptografia para os ramais da Alta Direção ou ramais onde trafegam informações secretas, implementação de correções no PABX para que o mesmo só aceite senhas fortes no login de configuração, aquisição de sistema de controle físico (passa crachá, câmaras, sensores, etc) na sala do PABX, processo de detetização periódica na rede de dutos – evitando roedores atuando sobre os cabos com a conseqüente interrupção do serviço de voz, etc

IMPLEMENTAÇÃO E TESTE. Uma vez identificados os melhores controles para o processo e viabilizadas suas aquisições, os mesmos devem ser implantados e avaliados quanto a sua eficácia. Nesta fase pode ser convocado uma equipe de especialistas, de preferência interna à organização, para validação dos mecanismos através de tentativas de quebra da segurança. Caso seja necessário, deve-se fazer novo planejamento para mitigar problemas identificados, selecionando ou não, novas proteções para serem implantados.

OPERAÇÃO E MANUTENÇÃO. Confirmado a eficácia dos mecanismos implantados, deve- se mantê-los operacionais e periodicamente verificados seus indicadores de controle (exemplo: análise periódica do log da central, verificação das imagens e sensores da sala da

39 _{Papel definido pelo PUPSI, veja descrição no Anexo A.}

40

Digital Enhanced Cordless Telecommunications é uma tecnologia utilizada nas interfaces aérias de sistemas de telefonia sem fio, que além da dificuldade natural de escuta por se tratar de um sistema digital (possui modulação TDMA-Time Division Multiple Acess), a cada ligação é feito uma autenticação e estabelecido uma chave de sessão para criptografia dos dados(conversação).

central, verificação da integridade das fechaduras dos DI´s, DG´s e armários, etc) garantido a permanência dos riscos residuais no patamar desejado. Todos os procedimentos inerentes aos controles implementados devem ser, apropriadamente, incluídos na etapa de Treinamento da Meta-Política de T&S. Os controles devem ter seus responsáveis formalmente designados. Caso necessário, com a ocorrência de não conformidades nos indicadores, deve-se realizar novo planejamento para garantir os requisitos de segurança das informações sensíveis que trafegam pelo PABX..

4.8. Considerações finais do capítulo

Descrevemos neste capítulo, a estrutura do Processo Unificado para Políticas de Segurança da Informação. Identificamos e descrevemos todas as políticas que serão geradas bem como seus respectivos fluxos de trabalho, propósitos e relações (interações) com outras políticas integrantes do PUPSI. Foi apresentado um exemplo de elaboração de uma Micro-política de PABX, com o objetivo de integrar as atividades desenvolvidas até a Fase de Construção. A identificação da contribuição dada pelos documentos pesquisados, o esforço para elaboração do PUPSI e customização do RUP, além dos resultados obtidos, serão objetos do próximo capítulo.

Capítulo 5

O ESFORÇO E OS RESULTADOS

Este capítulo apresenta o esforço realizado na superação dos desafios para elaboração do modelo para o Processo Unificado para Geração de Políticas de Segurança – PUPSI e na instanciação deste modelo no Rational Unified Process – RUP . Apresentaremos também a contribuição dada pelos documentos pesquisados na elaboração deste modelo e os resultados obtidos com a instanciação do PUPSI no RUP.