INSTITUTO POLITCNICO DE COIMBRA

Instituto Superior de Contabilidade e Administrao de Coimbra

Polticas de Segurana ao nvel Empresarial

Licenciatura em Informtica de Gesto

Segurana Informtica
Ano Letivo 2016/2017
Maio 2017

Jos Pedro Piedade n 11882

Hugo Costa n 13849
 Polticas de Segurana ao nvel Empresarial - EDP - 2016/2017

1. ndice

1. ndice ......................................................................................................................... 2
2. ndice de Figuras ....................................................................................................... 3
3. Introduo.................................................................................................................. 4
4. Contexto Geral da EDP ............................................................................................. 5
4.1. mbito ............................................................................................................... 5
4.2. Compromissos ................................................................................................... 5
5. Gesto da Segurana Informtica EDP ..................................................................... 6
5.1. SOC EDP ........................................................................................................... 6
5.2. reas e eixos de atuao da Segurana de Informao ..................................... 8
6. Para que servem as Polticas de Segurana das Empresas ........................................ 9
6.1. Definio e o principal propsito de uma poltica de Segurana....................... 9
6.2. Quem deve ser envolvido na formulao da poltica? ....................................... 9
6.3. O que faz uma boa poltica de segurana? ....................................................... 10
7. O Que Deve Constar da Poltica de Segurana da Informao? ............................. 11
8. Perguntas frequentes sobre Segurana Informtica da EDP ................................... 12
9. Concluso ................................................................................................................ 14
10. Referncias Bibliogrficas ................................................................................... 15

P g i n a 2 | 15
 Polticas de Segurana ao nvel Empresarial - EDP - 2016/2017

2. ndice de Figuras

Figura 1 - Estrutura funcional SOC .................................................................................. 7

Figura 2 - reas de Atuao ............................................................................................. 8

P g i n a 3 | 15
 Polticas de Segurana ao nvel Empresarial - EDP - 2016/2017

3. Introduo
O presente trabalho foi realizado no mbito da unidade curricular de Segurana
Informtica, do terceiro ano da Licenciatura em Informtica de Gesto. Pretende-se com
o mesmo, especificar as polticas de segurana da informao da empresa EDP.

A maioria dos incidentes de segurana ocorrem no ambiente interno mas tambm

no ambiente externo. necessrio mostrar aos gestores atravs de uma poltica de
segurana bem estruturada como fundamental proteger a informao das ameaas
internas e externas.

Esta uma empresa de caracter mundial, e no foge regra, assim precisa de ter
as suas polticas de segurana bem definidas.

A empresa EDP utiliza um tipo de poltica de segurana operacional cujo nome

SOC EDP (Security Operations Center) que um conjunto de pessoas, tecnologias e
processos com o objetivo de providenciar servios de segurana, anlise e capacidade de
resposta a eventuais incidentes de segurana como iremos abordar ao longo do trabalho.

P g i n a 4 | 15
 Polticas de Segurana ao nvel Empresarial - EDP - 2016/2017

4. Contexto Geral da EDP

A Energias de Portugal uma empresa do sector energtico, verticalmente
integrada, com uma posio consolidada na Pennsula Ibrica, quer ao nvel de produo,
distribuio e comercializao de eletricidade, como de gs.

O grupo EDP tem hoje uma presena forte no panorama energtico mundial,
estando presente em pases como Portugal, Espanha, Frana, Estados Unidos, Reino
Unido, Itlia, Blgica, Polnia, Romnia e Brasil, contando com mais de 10 milhes de
clientes e mais de 12 mil colaboradores em todo o mundo.

4.1. mbito
A EDP est consciente de que a informao gerida no Grupo EDP,
nomeadamente sensvel de Clientes e de Negcio, deve ser gerida de forma a assegurar a
credibilidade junto do mercado, dos clientes e dos colaboradores e que para tal
necessrio:

Garantir e reforar a conformidade com a regulamentao e exigncias legais em

vigor;
Manter o comprometimento da organizao com a Segurana da Informao;
Assegurar a integridade, a confidencialidade e a disponibilidade da informao;
Estabelecer um padro de qualidade consistente com a dimenso e importncia da
organizao.

Neste sentido, o Grupo EDP desenvolveu uma Poltica de Segurana de

Informao, alinhada com as melhores prticas do mercado, e que serve de base ao
sistema de gesto e organizao de Segurana de Informao.

4.2. Compromissos
Confidencialidade: garantia de que a informao no divulgada de forma
inadequada a entidades ou processos;
Integridade: garantia da preveno contra a modificao e/ou destruio no
autorizada de informao;
Disponibilidade: garantia da acessibilidade da informao onde e quando
necessria e sem demora indevida;
No Repdio: garantia das evidncias da ocorrncia de eventos, impedindo a
negao da sua autoria pelo respetivo responsvel;
Conformidade Legal: garantia do respeito pelas leis civis e criminais,
regulamentaes ou obrigaes contratuais e requisitos de Segurana de
Informao.

P g i n a 5 | 15
 Polticas de Segurana ao nvel Empresarial - EDP - 2016/2017

5. Gesto da Segurana Informtica EDP

CSIRT EDP -Equipa de resposta a Incidentes de Segurana do Grupo EDP

Histria

O CSIRT EDP parte integrante da rea de Segurana de Informao e

Continuidade de Servios de TI do Grupo EDP, fundada em 2010.
O desenvolvimento e competncias tcnicas nesta equipa, bem como a implementao de
ferramentas e processos indispensveis sua atuao, permitiu ao CSIRT EDP aderir
rede nacional de CSIRT, coordenada pelo CERT.PT.

Objetivos e Atribuies

O CSIRT EDP tem como objetivo implementar o Processo de Gesto de

Incidentes de Segurana, respondendo aos incidentes que ocorram em redes ou sistemas
do Grupo EDP. Faz ainda parte das atribuies do CSIRT EDP a coordenao com outros
membros da rede nacional de CSIRT, cooperando para a resoluo de incidentes de
segurana informtica transversais a vrias organizaes.
A atuao do CSIRT EDP est alinhada com os compromissos do Grupo EDP.

A Rede Nacional de CSIRTs tem como objetivos:

Estabelecer laos de confiana entre elementos responsveis pela segurana

informtica de forma a criar um ambiente de cooperao e assistncia mtua no
tratamento de incidentes e na partilha de boas prticas de segurana;
Criar indicadores e informao estatstica nacional sobre incidentes de segurana
com vista melhor identificao de contramedidas proactivas e reativas;
Criar os instrumentos necessrios preveno e resposta rpida num cenrio de
incidente de grande dimenso;
Promover uma cultura de segurana em Portugal;

5.1. SOC EDP

Um SOC (Security Operations Center) o alinhamento de pessoas, tecnologias e
processos com o objetivo de providenciar um leque de servios de segurana que
permitiro uma monitorizao eficaz da segurana da infra-estrutura de TI, assim como a
capacidade de resposta e anlise a incidentes de segurana de informao.

Servios Prestados

Monitorizao de Segurana em Tempo Real - Este servio tem como objetivo

recolher e relacionar eventos de segurana provenientes de diversos componentes da
infraestrutura (aplicaes, bases de dados, firewall, IPS entre outros) de modo a

P g i n a 6 | 15
 Polticas de Segurana ao nvel Empresarial - EDP - 2016/2017

controlar e detetar atividades anmalas na infraestrutura IT. Os alertas gerados por

este servio serviro de entradas para outros servios como a Gesto de Incidentes de
Segurana de Informao.
Gesto de Incidentes de Segurana de Informao - Este servio consiste na anlise e
resoluo de Incidentes de Segurana, bem como na adoo de medidas corretivas
sempre que possvel e a elaborao de relatrios.
Anlise Forense - Este servio permitir garantir a coleo, preservao,
documentao e anlise de evidncias sobre os incidentes de segurana de
informao. Estas aes so essenciais sempre que se necessite de apresentar provas
em tribunal ou possibilitar a investigao a entidades judiciais.
Alertas e Avisos de Segurana - Este servio consiste em disseminar pela comunidade
servida alertas e avisos sobre segurana de informao tais como vulnerabilidades
conhecidas, alertas de intruso, vrus ou ainda as melhores prticas em termos de
segurana de informao.

Figura 1 - Estrutura funcional SOC

Podemos distinguir seis operaes a serem executadas por um SOC:

1. Identificao de eventos de segurana;

2. Coleta;
3. Armazenamento;
4. Anlise;
5. Reao.
6. observao

Assim, um SOC composto por cinco mdulos distintos:

Geradores de alertas;
Coletores de eventos;
Base de Dados de mensagens;
Mecanismos de anlise;
Software de gesto de reao.
P g i n a 7 | 15
 Polticas de Segurana ao nvel Empresarial - EDP - 2016/2017

5.2. reas e eixos de atuao da Segurana de Informao

Liderana Suporte e patrocnio, ao nvel da gesto de topo, dos planos estratgicos e

diretores para a segurana de informao.

Cooperao Entende-se como atuao no relacionamento entre as diversas equipas,

quer ao nvel interno, entre colaboradores, quer ao nvel externo (outras empresas e
organizaes).

Competncia O reforo das competncias especficas na rea da segurana para os

colaboradores.

Cultura Processos, comportamentos e atitudes em relao segurana de informao.

Continuidade de Servio IT Processos e atividades que tm como objetivo assegurar

a continuidade de servio IT.

Segurana Fsica Reforo da segurana de instalaes que albergam os sistemas de

informao do Grupo EDP (ex: CPDs).

Segurana Lgica/Aplicacional Projetos tecnolgicos e solues de segurana que

tm como objetivo a diminuio do risco relacionado com a segurana de informao.

Monitorizao de Segurana Competncias de monitorizao e reao em tempo real

a eventos de segurana; gesto de incidentes de segurana e anlise forense (ex:
solicitaes legais).

Politicas e Normas Atividades relacionadas com o desenvolvimento e gesto de

polticas, normas e procedimentos corporativos para a segurana de informao.

Gesto de Identidades e Acessos Entende-se como toda a gesto (processos mais

ferramentas) das identidades e acessos dos colaboradores do grupo EDP.

Figura 2 - reas de Atuao

P g i n a 8 | 15
 Polticas de Segurana ao nvel Empresarial - EDP - 2016/2017

6. Para que servem as Polticas de Segurana das

Empresas

6.1. Definio e o principal propsito de uma poltica de Segurana

Uma poltica de segurana a expresso formal das regras pelas quais fornecido
acesso aos recursos tecnolgicos da empresa.

O principal propsito de uma poltica de segurana informar aos utilizadores,

equipas e gerentes, as suas obrigaes para a proteo da tecnologia e do acesso
informao.

A poltica deve especificar os mecanismos atravs dos quais estes requisitos

podem ser alcanados. Outro propsito oferecer um ponto de referncia a partir do qual
se possa adquirir, configurar e auditar sistemas computacionais e redes, para que sejam
adequados aos requisitos propostos. Portanto, uma tentativa de utilizar um conjunto de
ferramentas de segurana na ausncia de pelo menos uma poltica de segurana implcita
no faz sentido.

6.2. Quem deve ser envolvido na formulao da poltica?

Para que uma poltica de segurana se torne apropriada e efetiva, ela deve ter a
aceitao e o suporte de todos os nveis de empregados dentro da organizao.

especialmente importante que a gerncia corporativa suporte de forma completa

o processo da poltica de segurana, caso contrrio haver pouca probabilidade que ela
tenha o impacto desejado.

A seguinte lista de indivduos deveria estar envolvida na criao e reviso dos

documentos da poltica de segurana:

O administrador de segurana do website;

O pessoal tcnico de tecnologia da informao;
Os administradores de grandes grupos de utilizadores dentro da organizao;
A equipa de reao a incidentes de segurana;
Os representantes de grupos de usurios afetados pela poltica de segurana;
O conselho legal.

P g i n a 9 | 15
 Polticas de Segurana ao nvel Empresarial - EDP - 2016/2017

6.3. O que faz uma boa poltica de segurana?

As caractersticas de uma boa poltica de segurana so:

1. Deve ser implementvel atravs de procedimentos de administrao, publicao das

regras de uso aceitveis, ou outros mtodos apropriados.
2. Deve ser exigida com ferramentas de segurana, onde apropriado, e com sanes onde
a preveno efetiva no seja tecnicamente possvel.
3. Deve definir claramente as reas de responsabilidade para os usurios,
administradores e gerentes.

Uma vez que a poltica tenha sido estabelecida ela deve ser claramente
comunicada aos usurios, pessoal e gerentes. Deve-se criar um documento que os
usurios assinem, dizendo que leram, entenderam e concordaram com a poltica
estabelecida. Esta uma parte importante do processo. Finalmente a poltica deve ser
revisada regularmente para verificar se ela est suportando com sucesso as necessidades
de segurana.

P g i n a 10 | 15
 Polticas de Segurana ao nvel Empresarial - EDP - 2016/2017

7. O Que Deve Constar da Poltica de Segurana da

Informao?
A poltica de segurana deve conter diretrizes claras a respeito, pelo menos, dos seguintes
aspetos:

Objetivo da segurana: deve explicar de forma rpida e sucinta a finalidade da

poltica de segurana.

A quem se destina: deve definir claramente quais as estruturas organizacionais

s quais a mesma se aplica.

Propriedade dos recursos: deve definir de forma clara as regras que regero os
diversos aspetos relacionados com a propriedade dos ativos de informaes.

Responsabilidades: deve definir de forma clara qual tipo de responsabilidades

envolvidas com o uso de informaes, a quem as mesmas devem ser atribudas e
os mecanismos de transferncia.

Requisitos de acesso: deve indicar de forma clara quais os requisitos a serem

atendidos para o acesso a ativos de informaes.

Generalidades: nesta seo podem ser includos os aspetos que no esto nas
demais. Pode-se incluir uma definio dos conceitos envolvidos, um glossrio.

P g i n a 11 | 15
 Polticas de Segurana ao nvel Empresarial - EDP - 2016/2017

8. Perguntas frequentes sobre Segurana Informtica

da EDP

8.1. Dicas para distinguir mensagens e como evitar consequncias?

1. Nunca enviar informao pessoal que seja solicitada por e-mail tal como: n do carto
de crdito, username, password ou outra informao privada. A EDP nunca pedir
este tipo de informao por este veculo de comunicao;
2. No seguir as ligaes de e-mails suspeitos. Caso queira aceder, introduza
diretamente no browser o endereo da entidade referida no e-mail e navegue a partir
da;
3. Em caso de dvida contacte a entidade para confirmar a veracidade do e-mail, mas
nunca use os contactos indicados no e-mail. Faa-o da forma que costuma fazer
habitualmente;
4. Certifique-se que atualiza o software que utiliza no seu computador, nomeadamente
o browser e software de proteo como antivrus e firewall.

8.2. Onde se obtm os endereos de e-mail para enviarem este tipo

de mensagens?
Os endereos de e-mail utilizados para o envio de e-mails de phishing em nome
da EDP no foram obtidos de qualquer base de dados da EDP. O esquema usual nestes
ataques consiste no envio de e-mails falsos para a lista de contactos de utilizadores cujo
equipamento, ligada a internet, se encontra infetado com malware, propagando o esquema
de phishing.

8.3. A EDP pode fazer alguma coisa para mitigar os impactos dos
ataques de phishing?
Apesar de ser totalmente alheia aos esquemas de phishing, a EDP pode e tem realizado
aes com o objetivo de mitigar as consequncias destes ataques de phishing, em
concreto:

semelhana de todas as entidades que contribuem para o esforo de melhoria da

cibersegurana nacional, lanar avisos de alerta e informaes relevantes, atravs dos
meios de comunicao que tem ao seu dispor;

Sempre que detetar um novo site que aloja malware, alertar o administrador desse site
para o facto de o mesmo estar a ser usado de forma abusiva, devendo ser tomadas as
medidas de correo das vulnerabilidades existentes.

P g i n a 12 | 15
 Polticas de Segurana ao nvel Empresarial - EDP - 2016/2017

8.4. A fatura eletrnica EDP segura?

A fatura eletrnica o mtodo mais eficaz de respeitar a privacidade e segurana
da informao do cliente.

A consulta da fatura est protegida por controlos de segurana robustos que

regulam o servio da fatura eletrnica, acessvel para consulta ou impresso atravs da
rea reservada de cliente. Os casos de phishing que envolveram o nome da EDP no
alteram em nada o nvel de segurana de utilizao da fatura eletrnica.

P g i n a 13 | 15
 Polticas de Segurana ao nvel Empresarial - EDP - 2016/2017

9. Concluso
A Equipa de resposta a Incidentes de Segurana do Grupo EDP (CSIRT EDP) em
simultneo com o SOC (Security Operations Center) expe que o apoio da administrao
no processo da implementao de um modelo PSI fundamental, tambm Mamede
(2006) entende que o processo de segurana no algo meramente executado por um
pequeno grupo de pessoas no seio da organizao, mas pelo contrrio, envolve todas as
pessoas da organizao.

Tanto administradores como gestores assumem que a segurana da informao

interna algo de senso comum, mas isso no a realidade, colaboradores cometem graves
erros de segurana diariamente sem o saber.

A empresa necessita de se proteger atravs da formao dos seus colaboradores,

necessrio implementar um modelo de PSI detalhado com o conhecimento e cooperao
dos colaboradores, apoio dos administradores, uma motorizao e atualizao peridica
atravs de auditorias internas e externas. O no cumprimento da Politica de Segurana da
Informao tem que implicar advertncias disciplinares.

P g i n a 14 | 15
 Polticas de Segurana ao nvel Empresarial - EDP - 2016/2017

10. Referncias Bibliogrficas

https://www.edp.pt/pt/aedp/sobreaedp/principiosepoliticas/Pages/Politica_SegurancaInf
ormacao.aspx

http://www.edp.pt/pt/sustentabilidade/prevencaoeseguranca2/gestaodaseguranca/Pages/
GestaoSeguranca.aspx

http://www.edp.pt/pt/particulares/Pages/Seguran%C3%A7aInform%C3%A1tica.aspx

http://penta.ufrgs.br/gereseg/rfc2196/cap2.htm

http://www.oocities.org/ferujo/unidade-ii.htm

http://www.cert.rcts.pt/index.php/rede-nacional-csirt/objectivos

Mamede, S. Henrique, (2006), Segurana Informtica nas Organizaes, FCA-Editora

Informtica, Lda.

P g i n a 15 | 15