Embed Size (px)
Citation preview
UNIVERSIDADE SÃO FRANCISCO Engenharia de Computação
PAULO JAFFET SETTE BERTOLIN
BOAS PRÁTICAS COM A UTILIZAÇÃO DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO (PSI)
Itatiba 2012
PAULO JAFFET SETTE BERTOLIN – R.A. 002200700044
BOAS PRÁTICAS COM A UTILIZAÇÃO DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO (PSI)
Monografia apresentada à disciplina Trabalho de Conclusão de Curso de Engenharia da Computação da Universidade São Francisco, sob orientação do Prof. Rodrigo Luis Nolli Brossi, como requisito para obtenção do título de Bacharel em Engenharia de Computação.
ORIENTADOR: Prof. Rodrigo Luis Nolli Brossi
Itatiba 2012
Agradeço aos meus familiares,
minha namorada e meus amigos
que me apoiaram nessa conquista
em mais uma etapa de minha vida.
AGRADECIMENTOS
Agradeço a todas as pessoas envolvidas no desenvolvimento do trabalho. Ao meu
pai Gianpietro, à minha mãe Maria, ao meu irmão Felipe e a minha namorada Amanda
que me auxiliaram sempre no que foi preciso e compreenderam alguns períodos em que
estive ausente. Ao professor Paulo Moacir Godoy Pozzebon que me auxiliou em alguns
momentos que foram necessários e por fim ao meu orientador Rodrigo Luis Nolli Brossi
que me apoiou e que com empenho me auxiliou a tornar possível a realização desse
projeto.
“Há três coisas que nunca voltam atrás na vida: a flecha lançada, a palavra
pronunciada e a oportunidade perdida.” Provérbio Chinês
RESUMO
A utilização de uma política de segurança da informação é necessária devido à preocupação com a utilização dos dados corporativos, pois foi constatada a necessidade da garantia de sua segurança. Nos últimos anos ficou mais difícil manter a integridade e segurança dos dados empresariais devido a novas facilidades no que se diz respeito à agilidade dos processos e o acesso a informação. A utilização de normas de segurança é imprescindível e pode haver certa resistência por parte dos usuários devido a demora na adaptação do ser humano com algumas modificações em seu ambiente. Um descuido por mínimo que seja, pode ocasionar prejuízos significativos para as corporações, às vezes até mesmo irreversíveis. Isso ocorre quando não existe a preocupação em se definir normas de segurança que controlem o acesso dos usuários e até mesmo de terceiros a informação. O maior desafio para os profissionais da área de segurança é garantir que uma ameaça, assim que detectada seja eliminada no menor tempo possível, evitando que ela se espalhe ou que libere acessos a não autorizados. Isso devido ao fato de os vírus deixarem de ser a única ameaça existente, pois com tempo surgiram também outras ameaças como, por exemplo, o spyware. Para evitar essas ameaças é necessário garantir que seja obedecido o tripé da segurança da informação: confidencialidade, integridade e disponibilidade. O trabalho analisa o prejuízo que as corporações podem sofrer, estudar alguns pontos principais sobre segurança e qual o impacto da utilização de políticas de segurança da informação. Como não existe ferramenta 100% eficiente no combate as ameaças, algumas das soluções surgem a partir de análise de riscos, definição de uma política de segurança e um plano de contingência em caso de incidentes graves. O grande problema do acesso as informações é que elas são manipuladas pelas pessoas, que é o elo mais frágil da corrente. O maior erro de alguns profissionais da área é criar políticas de segurança, mas não monitorar se estão realmente sendo respeitadas ou se não estão sendo tratadas com a importância que possuem.
Palavras-Chave: segurança. informação. políticas de segurança.
ABSTRACT
With the use of an information security policy is necessary due to concern over the use of corporate data, it was found the need to keep their safety. In recent years it became more difficult to keep the integrity and security of enterprise data due to new facilities as it relates to the agility of processes and access to information. The use of safety is imperative and there may be some resistance from users due to delay in the adaptation of the human being with some changes in their environment. A negligence however minimal, can cause expressive damage to corporations, sometimes even irreversible. This occurs when there is no worry in defining safety standards that control user access and even third-party information. The biggest challenge for security professionals is to ensure that a threat, so detected is eliminated as quickly as possible, preventing it from spreading or release to unauthorized access. This is due to the fact that the viruses are no longer the only existing threat, since with time also emerged other threats such as, for example, spyware. To avoid these threats is necessary to ensure that the tripod is obeyed information security: confidentiality, integrity and availability. The paper analyzes the damage that corporations can suffer, study some key points about safety and the impact of the use of information security policies. Since there is no 100% effective tool in combating the threats, some of the solutions arise from risk analysis, defining a security policy and a contingency plan in case of serious incidents. The major problem of access to information is that they are manipulated by people, which is the weakest link in the chain. The biggest mistake of some professionals is to create security policies, but not to monitor whether they are actually being complied with or are not being treated with the importance they have.
Keywords: security. information security policies. security professionals. data.
LISTA DE FIGURAS
FIGURA 1 Divisão de Redes de Acordo com sua Extensão.......................... 17
FIGURA 2 Encapsulamento TCP IPV4.......................................................... 19
FIGURA 3 Encapsulamento UDP IPV4.......................................................... 20
FIGURA 4 Visão Sobre o Ciclo de Vida da Informação................................. 21
FIGURA 5 Camadas Referentes a Proteção Física da Informação.............. 23
FIGURA 6 Transmissão de Informação não Autorizada Pela Rede.............. 25
FIGURA 7 Exemplo de Chaves de Criptografia............................................. 30
FIGURA 8 Utilização da Chave Simétrica...................................................... 30
FIGURA 9 Utilização da Chave Assimétrica.................................................. 31
FIGURA 10 Certificado Digital do Banco do Brasil........................................... 32
FIGURA 11 Verificação de Certificados Digitais.............................................. 33
FIGURA 12 Modelo PDCA............................................................................... 36
LISTA DE TABELAS
TABELA 1 Os Três Objetivos dos Sistemas..................................................... 24
TABELA 2 Porcentagem Atividades Realizadas pelos CISMs......................... 28
TABELA 3 Modelo PDCA.................................................................................. 36
LISTA DE SIGLAS E ABREVIATURAS
ABNT Associação Brasileira de Normas Técnicas
CCSP Cisco Certified Security Professional
CIO Chief Information Officer
CISM Certified Information Security Manager
CPD Centro de Processamento de Dados
CSO Chief Security Officer
DES Data Encryption Standard
FBI Federal Bureau of Investigation
IDEA International Data Encryption Algorithm
IEC International Electrotechnical Commission
IP Internet Protocol
ISO International Organization of Standardization
LAN Local Area Network
MAN Metropolitan Area Network
MCSO Modulo Certified Security Officer
NIPC National Infraestructure Protection Center
P2P Peer 2 Peer
PAN Personal Area Network
PDCA Plan Do Check Act
PSI Política de Segurança da Informação
SANS System Administration Networking and Security
RC Rivest's Cipher
RFC Request For Comments
SENAC Serviço Nacional de Aprendizagem Industrial
SGSI Sistema de Gerenciamento de Segurança da Informação
TCP Transmission Control Protocol
TI Tecnologia da Informação
UDP User Datagram Protocol
WAN Wide Area Network
SUMÁRIO
1 INTRODUÇÃO ...................................................................................... 14
1.1 Objetivos .......................................................................................... 15
1.2 Metodologia ..................................................................................... 15
2 FUNDAMENTAÇÃO TEÓRICA ............................. ............................... 17
2.1 Conceito de redes de computadores .............................................. 17
2.2 Protocolos de Redes ....................................................................... 18
2.2.1 Protocolo TCP ........................................................................... 18
2.2.2 Protocolo UDP ........................................................................... 20
2.3 A importância da Informação .......................................................... 20
2.4 As Camadas e os Pilares da Segurança da Informação................. 22
2.4.1 As camadas ............................................................................... 22
2.4.2 Os Pilares .................................................................................. 23
2.5 Vulnerabilidade e Riscos ................................................................. 24
2.6 Gestor da Segurança da Informação .............................................. 27
2.7 Tipos de Criptografia ....................................................................... 29
2.7.1 Chaves de Criptografia .............................................................. 29
2.7.2 Chave Simétrica ........................................................................ 30
2.7.3 Chave Assimétrica .................................................................... 31
2.7.4 Assinaturas Digitais e Certificados Digitais ............................... 31
2.8 Ferramentas de Proteção ................................................................ 33
2.9 Engenharia Social ........................................................................... 34
3 POLÍTICAS DE SEGURANÇA ............................ ................................. 35
3.1 Proposta de Criação e Análise da Utilização de Políticas de Segurança da Informação ........................................................................ 35
3.2 Objetivo e Aplicação ........................................................................ 35
3.3 Responsabilidades .......................................................................... 37
3.4 Custodiantes da Informação ........................................................... 37
3.5 Correio Eletrônico ............................................................................ 38
3.6 Políticas de Uso da Internet ............................................................ 39
3.7 Controles de Acesso ....................................................................... 40
3.8 Controle Sobre os Recursos Tecnológicos ..................................... 41
3.9 CPD (Centro de Processamento de Dados) ................................... 42
3.10 Backups ........................................................................................... 43
4 CONCLUSÃO.......................................... .............................................. 45
REFERÊNCIAS ........................................................................................... 46
14
1 INTRODUÇÃO
Segundo Benedito (2005), um dado pode ser considerado característica de um
determinado objeto que pode ser registrado. A informação pode ser entendida como o
resultado obtido através de um processamento desses dados. De acordo com Rodrigo
(2010), a partir do momento em que ela é digitalizada, se torna um dos patrimônios mais
valiosos como qualquer outro ativo da empresa. Com o aumento de seu uso ficou mais
difícil manter sua integridade e segurança. Um descuido pode ocasionar prejuízos
significativos para as corporações, às vezes até mesmo irreversíveis. Isso ocorre quando
não existe a preocupação de definição de políticas de segurança que controlem o acesso
dos usuários e até mesmo de terceiros aos dados corporativos.
Quando a empresa começa a crescer, o uso da tecnologia se torna indispensável
para o gerenciamento dos negócios e com isso, surge à necessidade do uso de
mecanismos de segurança, para ajudar a garantir a integridade da informação. Como não
existe nenhuma ferramenta com 100% de eficiência, é necessário sempre verificar quais
pontos estão mais vulneráveis e a partir desse levantamento, aplicar medidas de
segurança necessárias. Não é somente instalar um programa antivírus ou fazer o
monitoramento dos computadores, mas garantir que todos dados que irão trafegar dentro
ou para fora da empresa, não contenham nenhuma ameaça, não estejam sendo
roubados ou percam sua integridade.
De acordo com a Intel, o maior desafio dos profissionais que trabalham na área de
segurança é garantir que uma ameaça, assim que detectada seja eliminada no menor
tempo possível, evitando que ela se espalhe ou que libere acessos a pessoas não
autorizadas. Isso devido ao fato de os vírus deixarem de ser a única ameaça existente
como era até bem pouco atrás, pois com tempo surgiram também outras ameaças como,
por exemplo, os spywares.
Segundo a Intel, analisando o prejuízo que as empresas podem sofrer, grande
parte delas está investindo em soluções de segurança, pois esse é um dos caminhos
para evitar esse tipo de problema. Algumas dessas soluções surgem a partir de uma
análise detalhada de riscos, definição de uma política de segurança e um plano de
contingência caso ocorra algum incidente muito grave. O grande problema do acesso as
informações é que elas são manipuladas por pessoas, que é o elo mais frágil da corrente
15
quando se trata de segurança de informação. Conforme Tanenbaum (2010), a maioria
dos sistemas operacionais tem aproximadamente cinco milhões de linhas de código e
núcleo de aplicações com no mínimo 100 MB, o que deixa evidente claro que pode haver
falhas que são exploradas e utilizadas por softwares mal intencionados.
Para garantir a segurança de um sistema de informação, é necessário seguir o
tripé da segurança que seguindo as definições abaixo são:
• Confidencialidade: é a proteção de acesso aos dados e a divulgação somente
quando autorizada;
• Integridade: é a garantia de que os dados são verídicos, não permitindo a
manipulação dessas informações.
• Disponibilidade: é onde o usuário tem a garantida o acesso a informação sempre
que ele necessitar, com integridade.
1.1 Objetivos
Essa pesquisa tem como objetivo estudar a importância que devemos ter com
relação à segurança da informação no ambiente empresarial moderno, bem como os
benefícios e as consequências da existência de diretivas de segurança. Também será
desenvolvido um modelo de política de segurança para ser utilizado como base para
esse estudo.
1.2 Metodologia
De início serão estudados conceitos básicos de redes de computadores na Seção
2.1 e 2.2. Após isso será abordada a importância da informação conforme a Seção 2.3.
Os pilares e as camadas da segurança serão vistos na Seção 2.4. Foram tratados os
riscos e as vulnerabilidades que as empresas estão propensas na Seção 2.5.
Para ter ciência de quem deve ser a pessoa responsável pela segurança da
informação, foi abordado o assunto no tópico 2.6. Nos tópicos 2.7 e 2.8 respectivamente
fora explicados alguns tipos de criptografia e ferramentas que auxiliam na proteção da
16
informação. Para entender um pouco sobre engenharia social, foi abordado o assunto no
tópico 2.9.
A solução encontrada para auxiliar a evitar que a empresa tenha prejuízos devido
a invasões, perda de dados dentre outras ocorrências, foi a criação e gerenciamento de
políticas de segurança conforme visto na Seção 3 e quais são os benefícios e as
consequências a partir do momento em que a empresa toma esse tipo de decisão e
como ela é aceita dentro do ambiente corporativo.
17
2 FUNDAMENTAÇÃO TEÓRICA
2.1 Conceito de redes de computadores
Para falar sobre segurança de informação, é importante deixar claro alguns
conceitos básicos sobre as redes. Para ter ideia de como funciona uma rede, a seguir um
exemplo utilizado por Tanenbaum (2003): uma empresa possui alguns computadores e
um ou dois deles são utilizados para imprimir documentos. Na teoria seria necessária
uma impressora para cada computador, porém com a criação das redes podemos ter
apenas uma impressora compartilhada com esses três computadores. Uma rede de
computador pode ser definida como dois ou mais recursos de rede conectados entre si e
trocando informação. Em termos gerais, esses recursos tais como computadores,
roteadores, modems são chamados de nós (do inglês, node). As redes são classificadas
de acordo com seu tamanho. Na FIGURA 1, há um exemplo de como é feita a divisão
das redes.
FONTE: TANENBAUM (2003)
FIGURA 1 – Divisão das Redes de Acordo com sua Extensão
Com base na imagem anterior, veremos as definições para cada tipo.
• LAN (Local Area Netowork ): rede pequena, encontrada em escritórios, prédios e
empresas.
18
• MAN (Metropolitan Area Network ): rede metropolitana que abrange uma grande
área, como por exemplo, a distribuição de sinal de TV e Internet a Cabo.
• WAN (Wide Area Network ): são as redes geograficamente distribuídas
abrangendo países e continentes. Exemplo: a internet.
2.2 Protocolos de Redes
Para entender o conceito do que é um protocolo de rede, veremos um exemplo
dado por Fabrício (2011): há duas pessoas, um brasileiro e um chinês. Os dois precisam
se comunicar porem um não fala a língua do outro. Para isso poderia ser usada uma
língua em comum (o inglês, por exemplo) ou até mesmo a comunicação através de
gestos universais como o dedão para cima que indica "positivo". Os protocolos são essas
línguas e sinais universais que permitem que os dispositivos de rede se comuniquem,
onde são definidas regras necessárias para que exista a comunicação.
Do mesmo modo que existem várias línguas ao redor do mundo, na tecnologia da
informação existem diversos protocolos. Entre eles existem os que são usados com mais
frequência. Para exemplificar vamos ver o como funcionam os protocolos TCP e o UDP
que são um dos principais existentes.
2.2.1 Protocolo TCP
A comunicação das redes de computador é feita através de protocolos, e na
internet um dos principais é o TCP (Transmission Control Protocol), que está incluído no
conjunto de protocolos que formam o TCP/IP. Segundo Battisti (2006), o TCP fornece um
serviço de entrega de pacotes confiável e orientado a conexão, isto é, significa que antes
de qualquer serviço iniciar a troca de dados utilizando esse protocolo na camada de
transporte, é necessário estabelecer uma conexão (onde são fornecidas algumas
informações, como por exemplo, a identificação do usuário).
Ainda segundo o autor, algumas das características principais do TCP são:
19
• Garantir a entrega dos pacotes: garante que os pacotes sejam entregues com
sua integridade garantida e em ordem correta. O TCP prove um mecanismo que
garante essa entrega.
• Executar a segmentação, reagrupamento e sequenciame nto dos dados: caso
seja requisitado o envio de um arquivo muito grande, é feito a divisão desse
arquivo em pacotes menores que são enviados por diferentes caminhos e com
isso podem chegam fora de ordem. O TCP faz a tratativa desses pacotes para
garantir que eles irão chegarão em ordem correta ao destino.
• Verificação de integridade dos dados: o TCP verifica se os dados não foram
corrompidos durante a viagem entre a origem e o destino.
• Confirmação de entrega dos pacotes: Caso os pacotes sejam enviados e
recebidos com sucesso, uma mensagem é transmitida a origem confirmando a
recepção. Caso não ocorra a recepção de algum pacote ou o mesmo seja
recebido com problema, uma mensagem é enviada a origem solicitando a
retransmissão apenas dos dados “corrompidos” reduzindo o trafego da rede e
facilitando a transmissão.
• Tratamento preferencial de pacotes: pacotes de aplicações como banco de
dados, programas de correio eletrônico tem preferência devido à sua importância.
Na FIGURA 2, há uma exemplificação de como é feito o encapsulamento do
protocolo TCP para redes IPV4.
Fonte: BATTISTI (2006)
FIGURA 2 – Encapsulamento TCP IPV4
20
2.2.2 Protocolo UDP
O UDP (User Datagram Protocol) é um padrão TCP/IP que foi definido na RFC
768. Segundo Battisti (2006) esse protocolo não é orientado a conexão, pois ele utiliza a
entrega dos pacotes através do melhor esforço. Porem o UDP não garante a entrega dos
dados, ou seja, eles têm um destino certo, mas não há garantia da entrega das
informações. Em alguns casos, o UDP é mais recomendado, pois ele não faz verificações
e não realiza o estabelecimento de sessões.
Abaixo a FIGURA 3 exemplifica como as mensagens são encapsuladas e
enviadas através de data gramas IP, conforme ilustração da ajuda do Windows 2000
Server:
Fonte: BATTISTI (2006)
FIGURA 3 - Encapsulamento UDP IPV4
2.3 A importância da Informação
De acordo com Gomes (2010), a informação em conjunto com recursos
tecnológicos fundamentais para o funcionamento estratégico e operacional das
empresas. O grande desafio para as empresas é saber aonde encontrar essa
informação, como usá-la e apresentá-la da melhor forma possível. Para isso é necessário
e de fundamental importância conhecê-la. Em sua forma digitalizada, ela adquiriu tal
21
importância que se cair em mãos de pessoas erradas ou não autorizadas, pode causar
prejuízos enormes para a empresa.
De um modo geral, no ambiente corporativo é necessário tomar uma série de
medidas para que esse bem tão valioso não seja usado de maneira incorreta. Como
exemplo, podemos citar os fatos ocorridos em 11 de setembro de 2011 quando houve
diversos ataques terroristas contra os Estados Unidos. Um dos alvos foi contra o conjunto
de prédios conhecido como WTC (World Trade Center). Nesses ataques muitas
empresas decretaram falência devido ao fato de não terem tomado o cuidado necessário
para que sua informação fosse salva em outros lugares. Com a perda dos dados, não
restou alternativa para essas empresas a não ser fechar as portas. Com base nisso
podemos ter uma noção da importância da informação nos dias de hoje. Na FIGURA 4 há
uma exemplificação do ciclo de vida da informação.
Fonte: SEMOLA (2002)
FIGURA 4 – Visão Sobre o Ciclo de vida da informação
22
2.4 As Camadas e os Pilares da Segurança da Informa ção
2.4.1 As camadas
Segundo a Intel, um dos maiores desafios da indústria que trabalha no
desenvolvimento de ferramentas para segurança da informação, é desenvolver em um
curto período de tempo soluções que atendam as exigências do mercado. O ponto inicial
é a partir da descoberta de uma nova ameaça (o que ocorre diariamente).
A todo instante surgem novas pragas digitais que se aproveitam de brechas
deixadas pelas corporações. Para acompanhar essa demanda, surgem diversas
ferramentas que auxiliam cada vez mais a proteger as empresas de ataques ou invasões.
A pergunta é: Por que os antivírus não conseguem combater essas ameaças? A
resposta é bem simples. Isso ocorre, pois os vírus deixaram de ser a única causa de
perda de dados ou o único vilão da chamada era digital. Outras ameaças que podemos
citar são os spams e os spywares que serão discutidos posteriormente. Mais do que
proteger o computador do usuário, é necessário garantir que sejam verificados todos os
dados e informações que trafegam pela rede.
Ainda de acordo com a Intel, antes de começar a definição de políticas e
métodos,é necessário seguir três passos para saber por onde começar e onde é
necessário mais atenção. O primeiro passo é fazer o levantamento dos ativos da
empresa e qual a vulnerabilidade deles. O segundo é a elaboração de normas para a
utilização desses itens e da informação que será acessada. O terceiro e último é a
tratativa referente a infraestrutura, tanto na aquisição de ferramentas quanto na
configuração e instalação dos equipamentos. Somente após essa análise é possível
fazer a validação, testes e acompanhamentos necessários. Na FIGURA 5, a
exemplificação das camadas no que diz respeito a segurança física da informação.
Fonte: SIPERCOM (2009)
FIGURA 5 – Camadas Referentes à
2.4.2 Os Pilares
Para abordar o tripé da segurança da informação, vamos fazer uma analogia bem
simples. Quando vamos construir uma casa, uma das partes mais importantes para a
sustentação da estrutura são os pilares.
sustenta esses pilares é o que chamamos de tripé da segurança da informação:
Confidencialidade (a informação só está disponível para as pessoas autorizadas com
acesso a ela), Integridade (a informação não é destruída ou corrompida sendo entregue
ao receptor da mesma ma
acessível sempre que necessária sua utilização
De acordo com Tanenbaum
podem ser exemplificados
passos com o objetivo de sempre
sua importância para a empresa. Muitas das vezes onde ocorre a utilização da
informação de maneira inadequada é devido a esses pilares não serem respeitados.
Fonte: SIPERCOM (2009)
Camadas Referentes à Proteção física da informação
Para abordar o tripé da segurança da informação, vamos fazer uma analogia bem
simples. Quando vamos construir uma casa, uma das partes mais importantes para a
sustentação da estrutura são os pilares. Segundo Marcos (2003), na tecnologia o que
s pilares é o que chamamos de tripé da segurança da informação:
Confidencialidade (a informação só está disponível para as pessoas autorizadas com
acesso a ela), Integridade (a informação não é destruída ou corrompida sendo entregue
ao receptor da mesma maneira que foi enviada) e Disponibilidade (a informação está
que necessária sua utilização).
anenbaum (2010), os sistemas têm três objetivos gerais e as
podem ser exemplificados na TABELA 1. Lembrando que sempre devemos
passos com o objetivo de sempre ter em vista a segurança da informação, visto qual a
sua importância para a empresa. Muitas das vezes onde ocorre a utilização da
informação de maneira inadequada é devido a esses pilares não serem respeitados.
23
Proteção física da informação
Para abordar o tripé da segurança da informação, vamos fazer uma analogia bem
simples. Quando vamos construir uma casa, uma das partes mais importantes para a
a tecnologia o que
s pilares é o que chamamos de tripé da segurança da informação:
Confidencialidade (a informação só está disponível para as pessoas autorizadas com
acesso a ela), Integridade (a informação não é destruída ou corrompida sendo entregue
neira que foi enviada) e Disponibilidade (a informação está
, os sistemas têm três objetivos gerais e as que
Lembrando que sempre devemos seguir esses
ter em vista a segurança da informação, visto qual a
sua importância para a empresa. Muitas das vezes onde ocorre a utilização da
informação de maneira inadequada é devido a esses pilares não serem respeitados.
24
TABELA 1 - Os três objetivos dos sistemas
Confidencialidade Garantir que os dados serão mantidos em segurança. Caso o
proprietário resolva que algumas pessoas poderão acessar
esses dados, é necessário garantir que somente pessoas
autorizadas possuam acesso.
Integridade Garantir que os dados acessados não serão alterados ou
excluídos por pessoas não autorizadas.
Disponibilidade Garantir que os dados estejam disponíveis sempre que
necessária sua utilização e que ninguém irá perturbar o sistema
fazendo com que esses dados fiquem indisponíveis.
Fonte: TANENBAUM (2010)
2.5 Vulnerabilidade e Riscos
Segundo Tanenbaum (2010), até o início da década de 90 poucas pessoas
possuíam um computador em casa. A maior parte dos existentes na época se encontrava
nas grandes universidades, bibliotecas e centros de pesquisa que mantinham seus
equipamentos isolados e sem conexões com nenhuma rede. Com isso a única
preocupação com relação à segurança dessas informações estava em garantir que
nenhum usuário tivesse acesso aos dados dos outros. Porem, com o crescente avanço
tecnológico, cada vez mais os computadores se tornaram acessíveis e indispensáveis em
nosso dia-a-dia. O resultado disso são as crescentes oportunidades para pessoas que
criam programas maliciosos tem de acessar informações pessoais ou empresariais.
Conforme a Intel, na maioria das pesquisas realizadas, o grande problema quando
se fala em segurança da informação, são os usuários. Não é válido a empresa investir
nas mais sofisticadas ferramentas de proteção se não existir políticas que controlem e
estabeleçam parâmetros para uso dos recursos da empresa. O que ocorre na maioria
das vezes é a falta de informação sobre alguns riscos, que na maioria das vezes fazem o
colaborador acessar links maliciosos que ocasionam a liberação de acessos a pessoas
não autorizadas. Na FIGURA 6 há um exemplo de como um computador pode estar
vulnerável a transmitir informações não autorizadas para outros dentro da rede.
25
Fonte: ANDREOLI (2002)
FIGURA 6 – Transmissão de Informação não Autorizada Pela Rede
Outro fator que podemos exemplificar é a constante e rápida evolução da
tecnologia. Cada vez mais surgem equipamentos com recursos avançados que na
maioria das vezes, já estão ao alcance tanto no ambiente doméstico quanto no
empresarial. Mas antes da preocupação de ter as pessoas como principal fonte de risco,
é necessário se preocupar com a vulnerabilidade que os sistemas estão expostos. Hoje
em dia, existem empresas especializadas em verificar falhas e prover soluções que
auxiliem na correção dessas brechas. Como exemplo, existem o System Administration,
Networking And Security (SANS) e o National Infrastructure Protection Center / Federal
Bureau of Investigation (NIPC/ FBI).
Ainda de acordo com a Intel, abaixo estão listados alguns dos principais
problemas e mais comumente identificados no que se diz respeito à vulnerabilidade:
• Senhas fracas: muitos usuários criam senhas muito fáceis de serem descobertas
como, por exemplo, utilizar seu nome ou data de aniversário. Essas informações
são as primeiras a serem utilizadas na tentativa de "quebrar" a senha. Isso ocorre,
pois na maioria das vezes não existe uma educação com relação a como criar
uma senha forte. Algumas empresas adotam o seguinte parâmetro para o usuário
ter uma autenticação segura: o que ele sabe (memória), o que ele tem (token) e o
que ele é (biometria1). Alguns sistemas fazem a verificação do grau de segurança
através desses parâmetros pré-definidos.
• Sistemas de backup falhos: grande parte das empresas faz o backup diário de
seus dados, porem não verificam a integridade da informação e se o local onde os
1 Biometria é uma medição biológica, isto é, é um estudo das características físicas e comportamentais de
um determinado indivíduo. O princípio básico é: seu corpo, sua senha.
26
dados estão armazenados está em segurança. Outro ponto crítico é a
redundância do local de arquivamento dessas informações. O ideal é armazenar
os backups em um local que obedeça uma distância mínima de segurança de
onde estão armazenadas as informações.
• Portas abertas: um convite e tanto para invasores são as portas deixadas
abertas. Uma solução para evitar esse tipo de problema, é realizar auditoria das
portas utilizadas com frequência a fim de verificar possíveis falhas e portas que
foram esquecidas.
• Falhas em sistemas de logs : os arquivos de log geralmente armazenam
informações sobre o tráfego de rede, falhas em sistemas e essa é uma das
primeiras fontes em que um invasor faz a pesquisa para tentar encontrar pontos
vulneráveis.
• Redes sem fio desprotegidas: a tecnologia sem fio (Wi-Fi) vem crescendo cada
vez mais no dia-a-dia das empresas, porem por se tratar de algo recente, deve-se
tomar cuidado ao adotá-la como meio de trafego de informações. É preciso
também fazer uma analise bastante crítica sobre o grau de importância da
informação que ira transitar por esse meio.
• Falha de atualização: com a crescente onda novos programas (softwares,
aplicativos), há a necessidade de mantê-los sempre atualizados a fim de corrigir
possíveis falhas e acrescentar novas funcionalidades. Um exemplo clássico são
as desenvolvedoras de programas antivírus, que precisam estar atualizadas sobre
novas ameaças e repassar essa proteção em pacotes de atualização a seus
clientes.
Após ver um pouco sobre vulnerabilidade, abaixo alguns dos principais riscos que
as empresas correm a partir do momento que deixam sua informação em posse dos
usuários. Na maioria das vezes, as ocorrências de vírus ou até mesmo de invasões
ocorre a partir do momento em que o usuário acessa links que contém softwares
maliciosos com o único intuito de acessar informações muitas vezes confidenciais.
Abaixo algumas das principais ameaças.
• Vírus: são programas maliciosos que assim como os vírus biológicos, infectam o
sistema e tentam se alastrar criando cópias de si mesmo em outros locais. As
formas mais comuns de infecção ocorrem com a execução de arquivos
contaminados, uso de CDs ou Pen Drives com arquivos maliciosos, sistemas
operacionais desatualizados, não uso de softwares antivírus.
27
• Worm: (em português, verme) é semelhante ao vírus, porem ele não necessita de
outros programas para se propagar, pois ele se trata de um programa completo e
projetado para tomar ações maliciosas, deixando o computador que foi infectado
muito lento. Um caso famoso foi o Mydoom, que em seu pico, causou lentidão
generalizada em toda a internet.
• Spyware: é um programa voltado à coleta de dados pessoais e acessos que a
pessoa realiza, enviando essas informações para um terceiro. Ao contrário de
alguns tipos de infecções, o objetivo principal desse malware não é manipular ou
controlar o sistema em que ele esta alojado e sim enviar os hábitos dos usuários
para empresas com fins comerciais a fim de vender seus produtos. Há porem, os
que visam única e exclusivamente à obtenção de senhas de e-mail ou dados de
contas de banco.
2.6 Gestor da Segurança da Informação
Segundo estudos feitos pela Intel, a segurança da informação é uma das maiores
preocupações e um dos itens mais críticos quando a empresa trabalha com seus dados
digitalizados. Com base nesse cenário, surge a necessidade de existir um profissional
responsável pelo gerenciamento dos processos, criação de níveis de hierarquia, criação
de métodos de reação caso ocorram falhas ou erros. Esse profissional é conhecido como
CSO (Chief Security Officer ou Gestor da Segurança da Informação, em português).
A área de tecnologia da informação é muito ampla. Podemos citar profissionais
das áreas de redes, banco de dados, desenvolvimento e com isso o CIO (Chief Security
Officer) muitas vezes não possui tempo suficiente para se dedicar a área de segurança.
A solução para esse problema foi a criação do CSO.
Para ocupar esse cargo, é necessário possuir conhecimentos nas áreas de
tecnologia (principalmente na área de segurança) e de negócios, pois assim ele
consegue assimilar essas áreas e desenvolver planos estratégicos para resolução de
problemas existentes e possíveis ameaças. Dentre suas atribuições, as principais são
desenvolvimento de políticas de segurança, supervisão do monitoramento, da proteção
da infraestrutura da empresa e negociação com fornecedores de serviços de segurança.
Algumas das certificações mais requisitadas para profissionais que visam atuar na
área de segurança da informação é a CISM (Certified Information Security Manager),
CCSP (Cisco Certified Security Professional) e a MCSO (Modulo Certified Security
28
Officer). Na TABELA 2, há um panorama de como os profissionais certificados em
segurança da informação pela CISM, realizam algumas atividades. Ela deixa claro como
o cargo atual desses profissionais exige uma porcentagem mais alta em funções de
negócios (em negrito) se comparada ao cargo anterior.
TABELA 2 - Porcentagem Atividades Realizadas pelos CISMs
Posição Cargo Atual % Cargo Anterior %
1 Gestão de Riscos 76,6 Segurança de Dados 56,6
2 Gestão de Programas de
Segurança 74,0 Gestão de Riscos 54,8
3 Segurança de Dados 70,7 Segurança de Rede 53,5
4 Criação e Manutenção de
Políticas 65,3
Gestão de Programas de
Segurança 49,0
5 Conformidade Legal 63,4 Criação e Manutenção de
Políticas 48,8
6 Gestão de Projetos de
Segurança 59,6
Continuidade de Negócios /
Recuperação de Desastres 45,8
7 Gestão de Incidentes 58,5 Segurança de Sistemas e
Aplicativos 45,2
8 Segurança de Rede 57,3 Arquitetura de Segurança 45,1
9 Continuidade de Negócios /
Recuperação de Desastres 56,1 Gestão de Incidentes 44,8
10 Arquitetura de Segurança 55,9 Gestão de Projetos de
Segurança 44,8
Fonte: ISACA (2008)
29
2.7 Tipos de Criptografia
Segundo a CERT, a criptografia pode ser considerada a arte de escrever
mensagens cifradas. Um exemplo simples é uma mensagem que precisa ser enviada e
seu conteúdo é confidencial. Somente o agente emissor e o agente receptor devem ter
acesso a essa informação. A criptografia foi criada para cifrar essas mensagens e evitar
que estranhos tenham acesso ao conteúdo dessa mensagem. Quando esse tipo de
mensagem é tratado digitalmente, são adotados diversos métodos que são aplicados
como, por exemplo, o uso de chaves criptográficas que são algoritmos capazes de
decodificar uma mensagem “oculta”.
No início, apenas se usava um algoritmo para fazer a criptografia da informação,
sendo assim somente o agente emissor e o agente receptor teriam acesso ao conteúdo
da mensagem. O “x” da questão é que se outra pessoa souber o algoritmo, ela também
teria acesso a essa informação, sendo assim ela deixaria de estar em segurança e não
seria mais confidencial.
2.7.1 Chaves de Criptografia
Basicamente, as chaves de criptografia funcionam semelhantes às chaves que
usamos para abrir e fechar nossas casas. Somente as pessoas com acesso a essas
chaves podem ter acesso a casa, no caso da informática, acesso a informação que foi
codificada. Conforme Tanenbaum (2010), vamos supor que temos um texto P, uma
chave criptográfica Ke, o texto criptografado C e o algoritmo E, então temos um chave
criptográfica que pode ser descrita pela função C = E (P, Ke).
Da mesma forma que temos a chave de criptografia, temos a chave para realizar
o processo inverso. Vamos supor que temos o algoritmo de decriptação D, e a chave de
decriptação Kd. Com isso obtemos a função P = D (C , Kd). Para termos uma ideia geral,
temos abaixo a FIGURA 7, que exemplifica a utilização dessas chaves.
30
Fonte: TANENBAUM (2010)
FIGURA 7 – Exemplo de Chaves de Criptografia
2.7.2 Chave Simétrica
É o tipo mais simples, onde os dois lados a têm, fazendo uso da mesma. Mais
especificamente, o emissor e o receptor fazem o uso da mesma chave tanto na
codificação quando na decodificação. Nesse caso ela é considerada não segura, pois
caso a informação seja passada para muitas pessoas, seria necessário a criação de
várias chaves, uma para cada entidade e também na hora de “enviar” essas chaves, há
sempre o risco de elas caírem nas mãos erradas. Na FIGURA 8, é ilustrado o
funcionamento desse tipo de chave.
Fonte: MACEDO (1998)
FIGURA 8 – Utilização da Chave Simétrica
31
2.7.3 Chave Assimétrica
A chave assimétrica é baseada no uso de pares de chaves para codificar /
decodificar as mensagens. É composta chave pública e a chave privada. Nesse caso o
emissor cria uma chave de codificação e envia ao receptor. Essa é a chave pública. A
chave privada é a que o emissor irá utilizar para fazer a decodificação.
Devido ao processo utilizado na codificação da mensagem através desse método,
uma mensagem cifrada com chave pública somente pode ser decifrada pela chave
secreta a ela associada. A chave utilizada na codificação é chamada de chave pública,
pois pode ser divulgada para que qualquer pessoa possa enviar mensagens cifradas ao
seu possuidor. A chave de decodificação deve ser mantida em sigilo. Na FIGURA 9, é
exemplificado como funciona a chave assimétrica.
Fonte: MACEDO (1998)
FIGURA 9 – Utilização da Chave Assimétrica
2.7.4 Assinaturas Digitais e Certificados Digitais
Quando utilizamos documentos, é sempre necessário validar a autenticidade dele
a fim de evitar problemas. Conforme exemplificado por Emerson (2009), imagine que
você esta em uma viagem de negócios e precisa enviar documentos confidenciais para a
matriz. O jeito mais rápido é enviar pela internet, pois quase na mesma hora o documento
seria recebido. Porem se você fosse enviar os documentos em papel, certamente teria
que assinar eles para garantir a autenticidade das informações. Quando o ambiente
passa do documento em papel para documento eletrônico, como poderia ser garantida a
32
integridade e autenticidade? Uma alternativa seria digitalizar sua assinatura, porem é
algo que facilmente poderia ser manipulado com programas de tratamento de imagens
como o photoshop, por exemplo. A assinatura digital nada mais é do que um mecanismo
eletrônico que utiliza criptografia para garantir a integridade das informações. Esse
método trabalha com base na confidencialidade (garante que as informações estejam
acessíveis somente para as pessoas autorizadas), autenticidade (garantir que as
informações recebidas sejam verdadeiras) e integridade (garante que os dados não
foram alterados no meio do caminho). Quando se trata da confidencialidade, é necessária
a utilização de uma chave pública para realizar a cifragem do documento. Porem,
qualquer pessoa que possuir a chave publica, poderá acessar as informações. Para isso
é utilizada uma chave privada para cifrar o documento. Para ter acesso às informações o
receptor deve utilizar a chave publica enviada pelo emissor, com isso ele tem garantia da
autenticidade das informações. O ultimo passo é garantir a integridade utilizando uma
função hash que é um processo criptográfico no qual é obtido um resumo ou hash onde a
assinatura digital é o uso de hash para garantir a veracidade do documento. Na FIGURA
10 um exemplo de validação do certificado digital do Banco do Brasil no Internet Explorer.
Fonte: Autor (2012)
FIGURA 10 – Certificado Digital do Banco do Brasil
Muitas vezes o usuário não percebe, mas os browsers conferem todos os
certificados dos sites que são acessados. Como exemplo, utilizaremos o Chrome que usa
33
cadeados verdes para sites confiáveis, cadeado amarelo para mostrar problemas e
cadeados vermelhos para os certificados que não podem ser validados como pode ser
visualizado na FIGURA 11.
Fonte: GAZZARRINI (2012)
FIGURA 11 – Verificação de certificados digitais
2.8 Ferramentas de Proteção
Diante de tantas ameaças, há sempre a busca por ferramentas que possam
proteger as informações e alertar sobre possíveis ameaças. As mais comuns são os
Antivírus, AntiSpywares, Firewall, Proxy.
• Antivírus : é um programa com o intuito de proteger o computador contra vírus
que é uma das pragas que mais infesta e prejudica os computadores hoje em dia.
• Firewall : são aplicativos ou equipamentos que fazem a verificação do fluxo de
dados e filtrando o que é considerado perigoso ou não. Na maioria das vezes já
vem integrando ao sistema operacional.
• Proxy : pode ser definido como um intermediário entre o usuário e o servidor que
faz a conexão entre o computador local e a rede externa devido aos endereços
locais não serem válidos para uso externo. Através dele também é possível
bloquear sites que não devem ser acessados.
• Antispyware : ferramenta de remoção de spywares que são programas que
monitoram o computador desde o momento em que ele começa a trabalhar e
envia essas informações a pessoas mal intencionadas.
34
2.9 Engenharia Social
De acordo com Elaine (2008), o termo engenharia social começou a ficar
conhecido a partir da década de 90. Para começar a se familiarizar com o termo, ele
pode ser definido como uma técnica em que a pessoa engana outra com a intenção de
obter informações sigilosas se passando por um terceiro, um profissional de determinada
área ou até mesmo instituições conhecidas como bancos e empresas. A grande dúvida é
como se proteger desse tipo de prática? A melhor forma é entender como esses
“engenheiros” trabalham e a partir daí desenvolver um plano de ação para evitar cair nas
armadilhas.
Quando tratamos uma possível ameaça ou ataque no ambiente computacional,
deve ser lembrado que antes de qualquer proteção física ou lógica, existe o usuário que é
o elo mais frágil de toda essa corrente. Segundo Antonio (2004), o ser humano tem
traços comportamentais e psicológicos que o tornam mais susceptível a ataques como,
por exemplo, o ato de ajudar quem aparenta passar confiança para as outras pessoas. A
grande dúvida é: Como fazer para evitar cair nos truques usados através dessa prática?
Abaixo alguns pontos citados por Antonio a fim de evitar essa prática:
• Educação e Treinamento: deixar as pessoas cientes do grau de importância de
certas informações (empresariais e pessoais) e explicar como atuam os golpistas.
• Segurança Física: controlar o acesso de entrada e saída permitindo somente a
entrada de pessoas autorizadas na empresa.
• Política de Segurança: implantar diretivas e procedimentos de segurança para o
uso das informações pertinentes a empresa.
• Controle de Acesso: controlar o acesso dos usuários, dando permissões
privilegiadas somente a pessoas autorizadas.
35
3 POLÍTICAS DE SEGURANÇA
3.1 Proposta de Criação e Análise da Utilização de Políticas de
Segurança da Informação
Após a abordagem de alguns tópicos sobre a informação e segurança, nesse
capítulo será proposta uma Política de Segurança da Informação, também conhecida
como PSI (Política de Segurança da Informação) ou como SGSI (Sistema de Gestão de
Segurança da Informação). Segundo a norma ABNT NBR ISO/ IEC 27001, a criação de
uma política de segurança deve ser considerada como uma decisão estratégica para a
organização. Para ser aceita por todos e ter credibilidade, deve ter o apoio da diretoria e
da presidência da empresa.
Em cada tópico será criada uma diretiva pertencente à política e em seguida será
realizado o estudo seguindo o formato: objetivo, definição da política, benefício e
consequências de sua utilização. Foram utilizados alguns tópicos existentes na PSI da
instituição SENAC.
3.2 Objetivo e Aplicação
Ao se criar uma política de segurança, sua função é o estabelecimento de
diretrizes que visam a proteção de ativos referentes à informação e delegação de
responsabilidade para todos os usuários.
Quanto à aplicação, todos devem seguir as normas estabelecidas e aplicadas à
qualquer meio. Fica sob responsabilidade da área de segurança da Tecnologia da
Informação publicar novas normas mantendo todos sempre atualizados. Na TABELA 3
podemos ver os passos que devem ser seguidos para obtenção de sucesso na criação e
implantação das políticas segundo o modelo PDCA que pode ser observado na FIGURA
12:
36
TABELA 3 - Modelo PDCA
Planejar (Plan) Estabelecer uma política, objetivos, processos e procedimentos da PSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
Fazer (Do) Implementar e operar a política, controles, processos e
procedimentos da PSI.
Checar (Check) Avaliar e, quando aplicável, medir o desempenho de um processo
frente à política, objetivos e experiência prática da PSI e apresentar
os resultados para a análise crítica pela direção.
Agir (Act) Executar as ações corretivas e preventivas, com base nos resultados
da auditoria interna da PSI e da análise crítica pela direção ou outra
informação pertinente, para alcançar a melhoria contínua da PSI.
Fonte: ISO 27001 (2006)
Fonte: ISO 27001 (2006)
FIGURA 12 – Modelo PDCA
37
3.3 Responsabilidades
• Objetivo: definir as responsabilidades de cada usuário sob a utilização dos dados
corporativos.
A partir do momento em que uma pessoa utilizar qualquer bem da empresa, ela
deve ser responsável por qualquer dano ou prejuízo que possa causar. Para tentar evitar
que isso ocorra, cada um deve ler a política de segurança e assinar o termo de ciência. A
partir daí qualquer ato ilícito cometido por esta cabível de punição.
Os gestores são responsáveis por verificar se as normas serão cumpridas de
acordo com o que foi determinado na PSI.
• Benefício: fica mais fácil a aplicação de penalidades, pois cada usuário está
ciente do que pode ocorrer caso execute alguma ação que não é permitida.
• Consequências da utilização: atribuir responsabilidades implica no fato de que
as pessoas que ficarem com essa tarefa, devem se preocupar duas vezes mais
do que quem apenas deve seguir as diretrizes.
3.4 Custodiantes da Informação
• Objetivo: definir quais pessoas serão responsáveis pela custódia da informação
da empresa.
A área da tecnologia da informação é responsável por configurar os equipamentos
que serão utilizados na empresa, aplicando todas as medidas de segurança necessárias.
É necessário separar funções administrativas e operacionais restringindo o acesso do
colaborador somente ao que lhe é permitido. Para isso devem ser implantados controles
que registrem logs de eventos para possíveis auditorias.
Ao ocorrer movimentação ou troca de qualquer equipamento ativo da Tecnologia
da Informação é preciso garantir que não sejam perdidas informações é necessário a
criação de usuários (logins) individuais que serão de total responsabilidade dos
portadores.
38
A partir do momento em que a pessoa se desligar da empresa, o gestor deve
solicitar imediatamente o bloqueio do acesso garantindo assim que não ocorram acessos
não autorizados.
Os gestores da Tecnologia da Informação devem propor metodologias que
auxiliem nos processos de controle da informação, bem como avaliação e classificação
de possíveis ameaças e riscos das quais os sistemas podem correr e conscientizar todos
os colaboradores a respeito da importância das diretrizes.
• Benefício: auxilia na hora de saber quem deve ou não realizar movimentações e
manutenções nos equipamentos e sistemas pertencentes a organização.
• Consequências da utilização: torna mais seguro o controle sobre o quais
procedimentos são realizados nos equipamentos, auxiliando em resolução de
problemas mediante histórico de ocorrências.
3.5 Correio Eletrônico
• Objetivo: definir quando e como poderá ser utilizado o webmail fornecido pela
organização.
O e-mail deve ser utilizado somente para tratar de assuntos pertinentes ao
ambiente corporativo. Porem pode ser utilizado para fins pessoais desde que seja
utilizado com bom senso e desde que não prejudique a empresa.
Abaixo alguns tópicos que devem ser respeitados:
• Envio de mensagens não autorizadas para vários destinatários em nome da
empresa;
• Utilizar o e-mail de outra pessoa e enviar mensagens sem autorização;
• Enviar mensagens que torne seu remetente vulnerável a ações criminosas;
• Divulgar informações não autorizadas em nome da empresa;
• É proibido enviar mensagens com as seguintes características: ameaças
eletrônicas; e-mails que visam a obtenção de dados ou serviços não autorizados
na rede; tenha caráter falso ou calunioso; faça apologia a racismo ou
descriminação; tenha fins políticos;
39
• Benefício: melhor controle sobre o tráfego de envio e recebimento de
informações.
• Consequências da utilização: os usuários ficam cientes da correta utilização do
e-mail bem como quando utilizá-lo. Auxilia no controle de quais mensagens são
enviadas ou recebidas através desse meio.
3.6 Políticas de Uso da Internet
• Objetivo: definir as diretivas para utilização correta da internet fornecida pela
empresa.
Embora a conexão com a internet possibilite muitas vantagens e benefícios ela
abre muitas portas. Qualquer informação acessada dentro da empresa esta sujeita a
análise e se constada que foi acessada indevidamente, o responsável pelo acesso esta
sujeito punição. Para isso é feito todo o monitoramento do fluxo de dados visando
garantir a integridade dos dados.
Assim como o correio eletrônico, a internet pode ser utilizada para fins pessoais
desde que não comprometa a segurança dos dados e não interfira no andamento das
atividades relacionadas ao trabalho.
É proibida a divulgação de qualquer informação correspondente a empresa em
fóruns, sites de relacionamento sem a devida autorização de algum responsável legal.
Referente aos downloads está autorizado somente quando o software for
destinado a uso dentro da corporação e que esteja devidamente cadastrado em uma lista
de softwares autorizados. Caso seja necessária a utilização de licenças de uso, deve ser
feito o requerimento para regularização o mais rápido possível a fim de não prejudicar a
empresa. O colaborador que for flagrado utilizando algum software ilegal ou não
licenciado vai ser punido com medidas que podem ir do desligamento da empresa até
mesmo a medidas civis e criminais. Fica proibida também a utilização de softwares P2P.
O acesso, armazenamento e distribuição de material que contem conteúdo sexual
é expressamente proibido. Isso devido ao fato de esse tipo de arquivo conter material
40
impróprio para o local de trabalho e por correr o risco de trazer vírus e outras ameaças
para a rede.
• Benefício: controle sobre o trafego de acesso a internet e monitoramento sobre
quais sites estão sendo acessados através de registros em logs de eventos.
• Consequências da utilização: facilidade na identificação de possíveis invasões e
se nenhum usuário esta enviando ou recebendo conteúdo não autorizado pela
empresa.
3.7 Controles de Acesso
• Objetivo: definir todos os controles de acesso aos dados pertencentes a
organização.
Para evitar que pessoas não autorizadas tenham acesso a informações ou a
diretórios exclusivos, é necessário realizar o controle rígido de como serão
disponibilizados os dados pertencentes a organização. O primeiro passo é a criação de
usuários e senhas individuais para todos. Caso seja terceiro, o acesso deve ser liberado
mediante autorização do gerente responsável pelo setor.
Deve ser de ciência de todos que a utilização de login de outra pessoa é crime
pelo art. 3072 do Código Penal Brasileiro, considerado como falsidade ideológica. Para
garantir que isso não ocorra deve ser feita a amarração entre o código de matrícula do
usuário, documentos oficiais pessoais reconhecidos pela legislação e uma pessoa física.
Quando isso é feito, o usuário se torna responsável por seus acessos e se passar a
alguém sabe que poderá ser punido. Para o caso de usuários genéricos, deve ser feita
uma segunda verificação como, por exemplo, o próprio login dos usuários que farão uso
desses “usuários compartilhados”.
É de total responsabilidade de cada um memorizar seu login e senha evitando
anotar em lugares com facilidade de acesso como cadernos ou agendas. Caso alguma
senha ser esquecida somente o usuário poderá solicitar formalmente que ela seja
2 Art. 307 - Atribuir-se ou atribuir a terceiro fals a identidade para obter vantagem, em proveito próprio ou alheio, ou para causar dano a o utrem. Pena - detenção, de três meses a um ano, ou multa, se o fato não constitui elemento de crime mais grave.
41
reiniciada. Se alguém tentar acessar alguma opção do sistema por mais de três vezes e
errar a senha, a conta deve ser bloqueada e somente liberada após constatar o que de
fato aconteceu.
Nos casos de desligamento, o RH deve entrar em contato imediatamente com a
equipe da Tecnologia da Informação solicitando a exclusão daquele usuário para evitar
que o login seja utilizado indevidamente.
Para garantir que esses controles sejam bem estabelecidos, a norma ISO 27002
recomenda atenção aos seguintes pontos:
• Definir e identificar todas as informações relacionadas ao trabalho verificando a
quais riscos essas informações estão expostas.
• Consistência no controle de acesso e classificação da informação de acordo com
o sistema.
• Separar as funções de controle como, por exemplo, pedido de acesso,
autorização e administração.
• Benefício: definição de diretrizes e melhor controle sobre como é acessada toda
a informação pertencente a empresa.
• Consequências da utilização: ao realizar o controle do acesso à informação, a
PSI define que desde que sejam respeitas as normas há uma garantia a mais de
que nenhum dado da empresa estará disponível para pessoas não autorizadas.
3.8 Controle Sobre os Recursos Tecnológicos
• Objetivo: definir como será o controle e como serão utilizados os recursos
tecnológicos como equipamentos e sistemas.
Todos os equipamentos pertencentes a empresa devem ser utilizados com
atenção. Fica expressamente proibida a manutenção de qualquer equipamento e
instalação de softwares não autorizados em qualquer equipamento pertencente a
empresa. Quando houver necessidade de atualização de qualquer software, ela deverá
ser validada pelo setor de homologação antes de entrar em produção.
42
Qualquer material não pertencente ao trabalho não deve ser copiado para os
servidores, pois pode sobrecarregá-los e fazer com que fiquem com pouco espaço para
realizar as tarefas para as quais foram criados. Para garantir que não sejam perdidos
arquivos, cada usuário deverá salvar seus arquivos em diretórios na rede, pois é feito o
backup que garante a disponibilidade desses documentos. Arquivos salvos localmente
correm o risco de se perderem caso o computador precise ser formatado.
Para auxiliar no monitoramento dos recursos disponibilizados, os pontos abaixo
devem ser atendidos:
1. Criação de senha de setup.
2. Qualquer equipamento que seja necessário conectar aos computadores
(como pen drives) deve ser comunicado formalmente.
3. É proibido o manuseio dos equipamentos para qualquer tipo de reparo.
Somente os técnicos autorizados devem realizar essa atividade.
4. Só será permitido o uso de modem 3G caso seja fornecido pela empresa.
5. É obrigatório realizar o bloqueio do computador quando houver a
necessidade de ausência.
6. É proibida qualquer tentativa de acesso não autorizado, tentativa de burlar
o sistema, acessar informações confidenciais, vigiar o trafego de rede,
interromper serviços ou servidores, hospedagem de material pornográfico,
utilização de softwares piratas. Caso qualquer um desses pontos seja
desobedecido, o meliante deverá ser punido.
• Benefício: ter mais controle sobre quais equipamentos e sistemas são
utilizados e como serão utilizados.
• Consequências da utilização: definir que os ativos pertencem a empresa
e com isso se alguém causar danos ou prejuízos será responsabilizado e
punido de acordo com a ocorrência.
3.9 CPD (Centro de Processamento de Dados)
• Objetivo: definir o controle de acesso ao ambiente, quem está autorizado a
realizar os acessos e quais métodos de segurança física e lógica devem ser
adotados.
43
O CPD é considerado um dos órgãos vitais das organizações, pois é o local onde
estão alocados os servidores que armazenam todas as informações. Portanto o acesso a
esse local deve ser restrito e possuir um sistema de segurança bastante forte. Para isso
deve ser criado o controle de acesso de acordo com os parâmetros: usuário que acessou
o local, qual dia e horário. O registro das atividades realizadas dentro desse ambiente
deve ser monitorado 24h por câmeras de segurança e através de arquivos de logs para
atividades nos sistemas de informação. Ao acessar o local, é necessário a autenticação
da pessoa e justificativa do acesso.
Referente a segurança física, alem do sistema de monitoramento de presença, é
necessário instalar um sistema de controle sobre a energia do local, com uso de
NoBreaks como garantia de que caso ocorra uma queda de energia os servidores
possuirão garantia de energia por um tempo. Deve existir também um controle da
temperatura do ambiente. Caso ela fique acima de um nível pré-estabelecido que possa
comprometer a integridade física dos equipamentos, um alarme sonoro é disparado em
locais que possuam pessoas da equipe de T.I. e manutenção para averiguação do que
ocorreu.
É de caráter obrigatório um sistema de combate a incêndio onde qualquer ameaça
detectada como, por exemplo, fumaça, aciona um segundo alarme que avisará a equipe
de bombeiros da ocorrência. Esse sistema consiste no princípio básico de redução do
oxigênio existente no local, eliminando o nível de sustentação da combustão.
• Benefício: controle forte sobre quem esta acessando o local através do meio
físico e do meio lógico. Controle sobre os sistemas de controles de energia e de
combate a incêndio.
• Consequências da utilização: fica restrito o acesso ao CPD somente as pessoas
que estão autorizadas, garantindo assim melhor controle sob a entrada e saída do
local.
3.10 Backups
• Objetivo: definir como será feito o backup dos dados, por qual equipe e com
qual frequência.
44
Segundo a ISO 27002, o backup tem como principal objetivo garantir a integridade
e disponibilidade da informação, garantindo que a recuperação dos dados ocorra em um
tempo mínimo aceitável no caso de ocorrência de algum desastre. Com isso ele se torna
um dos processos mais importantes para as empresas devendo ser feito e monitorado
com atenção redobrada.
Primeiro é necessário definir qual equipe da área de Tecnologia da Informação
ficará responsável por realizar os backups. Geralmente fica sob responsabilidade da
equipe de Redes ou Banco de Dados. Após isso, com base na norma acima citada é
preciso se atentar aos seguintes aspectos:
• Classificar o processo de acordo com o nível de execução.
• Realizar o registro completo cada vez que o processo for executado;
• Frequência com que serão realizados os backups. O definido nesse caso é diário.
• Garantir que as cópias serão armazenadas em um local seguro e a uma distancia
mínima suficiente para escapar de possíveis desastres no local onde são feitas.
• Testar e verificar regularmente se o conteúdo não foi corrompido.
• Verificar se os procedimentos adotados está corretos e se podem ser executados
diariamente sem influenciar na operação normal.
A realização de testes nas cópias e nos processos é necessário pois é através
deles que podem ser extraídos resultados quanto a efetividade dos métodos adotados.
Caso não sejam realizados, os pilares que dizem respeito a disponibilidade e integridade
da informação não serão respeitados.
Quando a fita ou mídia onde é feito o backup não puder ser mais utilizado, devem
ser descartados, mas antes disso é necessário garantir que ninguém ira conseguir
recuperar nenhuma informação. Com isso se faz necessário que esses objetos sejam
completamente destruídos antes de serem descartados.
• Benefício: garantia de que os dados estarão em segurança mesmo se
algum dos servidores ou sistemas parar de funcionar por falhas.
• Consequências da utilização: controle sobre a execução os backups,
instruindo corretamente como ele deve ser feito, o local em que deve ser
armazenado e com qual frequência deve ser verificado se nenhum dado foi
corrompido.
45
4 CONCLUSÃO
Com base nesse estudo foi possível analisar qual a importância da informação no
ambiente corporativo hoje em dia, auxiliando no entendimento de problemas que ocorrem
diariamente quando não existem diretrizes que definem o que pode ou não ser feito
quando alguém tem acesso aos dados pertencentes à empresa.
Com isso, foram analisados alguns pontos referentes a uma política de segurança
da informação essenciais para auxiliar na garantia de que os três pilares da segurança da
informação sejam obedecidos. Nessa PSI foram contemplados tópicos que abordam
quais pessoas devem ser responsáveis por criar e gerenciar as políticas, quais pontos
devem ser analisados com mais atenção como, por exemplo, controle de acesso dos
usuários, controle de uso dos ativos de informática, controle sobre os recursos
tecnológicos dentre outros.
Após a criação da política foi realizado um estudo sobre quais são os benefícios e
quais as consequências quando a empresa começa a fazer o uso dessa metodologia
para garantir a segurança dos dados corporativos e foi constatado que além da criação
da PSI deve ser feito todo o controle e gerenciamento para garantir que nenhum ponto
seja deixado para trás. É difícil controlar 100% da informação e como ela será acessada,
porem é preciso buscar sempre métodos que auxiliem no controle sobre ela.
46
REFERÊNCIAS
ALECRIM, Emerson. Criptografia. Disponível em: <http://www.infowester.com/criptografia.php>. Acesso em: 16 de maio de 2012.
ARAÚJO, Fabrício. Os Protocolos de Rede. Disponível em: <http://www.inforlogia.com/os-protocolos-de-rede/>. Acesso em: 20 de novembro de 2012.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2006. Tecnologia da Informação - Técnicas de Segurança - Sistema de Gestão da Segurança da informação - Requisitos. Rio de Janeiro, 2006.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002:2005. Tecnologia da Informação - Técnicas de Segurança - Código de Prática Para a Gestão da Segurança da Informação. Rio de Janeiro, 2005.
BASTO, Fabio. Política de Segurança da Informação, como fazer? Disponível em: <http://analistati.com/politica-de-seguranca-da-informacao-como-fazer/>. Acesso em: 08 de agosto de 2012.
BATTISTI, Julio. Um pouco sobre Pacotes e sobre os protocolos de Transporte. Disponível em: <http://www.juliobattisti.com.br/artigos/windows/tcpip_p11.asp>. Acesso em: 09 de abril de 2012.
CERT. Cartilha de Segurança para Internet: Conceitos de segurança. Disponível em: <http://cartilha.cert.br/conceitos/sec1.html#sec1> Acesso em: 09 de maio de 2012.
DICA DIGITAL. Aprenda a Diferenciar as Ameaças Virtuais. Disponível em: <http://www.dicadigital.com/aprenda-a-diferenciar-as-ameacas-virtuais>. Acesso em 05 de março de 2012.
GONZÁLEZ, Daniela. Conheça os tipos de criptografia digital mais utilizados. Disponível em: <http://idgnow.uol.com.br/seguranca/2007/10/05/idgnoticia.2007-10-05.1318584961>. Acesso em 16 de maio de 2012.
47
MARTINS, Elaine. O que é biometria? Entenda o que é e qual a finalidade desta técnica de reconhecimento das características humanas. Disponível em: < http://www.tecmundo.com.br/o-que-e/3121-o-que-e-biometria-.htm>. Acesso em 12 de novembro de 2012.
NEXT GENERATION. Segurança. Disponível em: <http://nextgenerationcenter.com/detalle-curso/Seguran%C3%A7a.aspx?PageID=1.> Acesso em: 03 de maio de 2012.
NEXT GENERATION. Segurança da Informação. Disponível em: <http://www.nextgenerationcenter.com/detalle-curso/Seguran%C3%A7a_da_Informa%C3%A7%C3%A3o.aspx?PageID=1>. Acesso em: 01 de junho de 2006.
OFFICINA DA NET. O que é: vírus, spam, spyware, worm, phishing. Disponível em: <http://www.oficinadanet.com.br/artigo/seguranca/o_que_e_virus_spam_spyware_worm_phishing>. Acesso em: 15 de maio de 2012.
OLIVEIRA, Salomão. Normas e Políticas de Segurança da Informação. Disponível em: <http://pt.scribd.com/doc/52566307/50/Information-Security-Officer-Gestor-de-Seguranca-da-Informacao>. Acesso em: 16 de maio de 2012.
OLIVEIRA, Adriana. PIZZOL, Diego. Segurança. Disponível em: <http://www.slideshare.net/drill/seguranca-cap09-tanenbaum>. Acesso em: 01 de junho de 2012.
PINTO, Rafael. Redes de comunicação. Disponível em: <http://rafaelpinto1995.blogspot.com.br/2011/01/tipo-de-redes.html/>. Acesso em 05 de dezembro de 2012.
PIROPO, Benedito. Computadores I: Dados e Informações. Disponível em: <http://blogs.forumpcs.com.br/bpiropo/2005/07/03/computadores-i-dados-e-informacoes/>. Acesso em: 02 de março de 2012.
SEMOLA, Marcos. Gestão da Segurança da Informação: Uma visão executiva. Rio de Janeiro: Elsevier, 2002. 184 p.
SENAC. PSI - Normas Administrativas. Disponivel em: <http://www.sp.senac.br/normasadministrativas/psi_normas_administrativas.pdf/>. Acesso em: 08 de agosto de 2012.
48
SILVA, Diogo Henrique. Tudo pela segurança da informação. Disponível em: <http://technet.microsoft.com/pt-br/library/cc716466.aspx/>. Acesso em 01 de março de 2012. SILVA, Rodrigo Gomes. A importância da informação. Disponível em: <http://www.administradores.com.br/informe-se/producao-academica/a-importancia-da-informacao/2820>. Acesso em 01 de junho de 2012.
STRICKLAND, Jonathan. Os 10 piores vírus de computador de todos os tempos. Disponível em: <http://informatica.hsw.uol.com.br/piores-virus-computador7.htm>. Acesso em: 15 de maio de 2012.
TANENBAUM, Andrew S. Redes de computadores. Tradução de V. D. de Souza. Rio de Janeiro: Elsevier, 2003. 945 p.
TANENBAUM, Andrew S. Sistemas Operacionais Modernos. Rio de Janeiro. Prentice Hall - Br, 2010. 712 p.
TRINTA, F. A. M.; MACEDO, R. C.. Um estudo sobre criptografia e assinatura digital. Disponível em: < http://www.di.ufpe.br/~flash/ais98/cripto/criptografia.htm>. Acesso em 15 de junho de 2012.
