Upload
carlos-janssen
View
116
Download
0
Embed Size (px)
Citation preview
FACULDADES INTEGRADAS UNICESP CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO
RUBENS JOS DE SOUZA
IMPLEMENTAO DE SERVIDOR WEB SEGURO COM WINDOWS SERVER 2003 PARA A EMPRESA CAIXA ECONMICA FEDERAL
BRASLIA 2007
RUBENS JOS DE SOUZA
IMPLEMENTAO DE SERVIDOR WEB SEGURO COM WINDOWS SERVER 2003 PARA A EMPRESA CAIXA ECONMICA FEDERALTrabalho de Concluso de Curso apresentado ao Curso de Tecnologia em Segurana da Informao do Instituto Cientfico de Ensino Superior e Pesquisa, como requisito parcial obteno do ttulo de Tecnlogo em Segurana da Informao. rea de concentrao: Tecnologia em Segurana da Informao. Orientador: Prof. MSc. Cid Bendahan Coelho Cintra
BRASLIA 2007
SOUZA, Rubens Jos. Implementao de servidor web seguro com windows server 2003 para a Caixa Econmia Federal / Rubens Jos de Souza ; Professor orientador Cid Bendahan Coelho Cintra. Guar : [s. n.], 2007. 134f; il. Monografia (Graduao em Tecnologia em Segurana da Informao) Instituto Cientfico de Ensino Superior e Pesquisa, 2007
I. Cintra, Cid Bendahan Coelho. II. Segurana da informao. III. Intranet.
FACULDADES INTEGRADAS UNICESP CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO
RUBENS JOS DE SOUZATrabalho de Concluso de Curso intitulado Implementao de Servidor Web Seguro Com Windows Server 2003 para a Empresa Caixa Econmica Federal, avaliado pela banca examinadora constituda pelos seguintes professores:
_____________________________________________________________
Prof. MSc. Cid Bendahan Coelho Cintra - Orientador
_____________________________________________________________
Prof. Charles Fernando Alves
_____________________________________________________________
Prof. Flvio Pelegrinelli
_____________________________________________________________
Prof. MSc. Paulo Hansen Coordenador do Curso de Tecnologia Em Segurana Da Informao FACCIG/UnICESP RESULTADO ( X ) APROVADO ( ) REPROVADO
Braslia, junho de 2007.
PROPRIEDADE INTELECTUAL DE TRABALHO DE CONCLUSO DE CURSO CESSO DE DIREITOS
Curso de Tecnologia em Segurana da Informao UnICESP Ttulo do Trabalho: Implementao de Servidor Web Seguro Com Windows Server 2003 para a Empresa Caixa Econmica Federal Autor: Rubens Jos de Souza Orientador: Prof. MSc. Cid Bendahan Coelho Cintra Data de apresentao do Trabalho: 26 de junho de 2007
Declaramos que o aluno Rubens Jos de Souza por meio da Coordenao do Curso de Tecnologia em Segurana da Informao, da Coordenao de Trabalhos de Concluso de Curso e da Coordenao Geral de Trabalhos de Concluso de Curso, do UnICESP, esto autorizadas a fazer uso do Trabalho por ns desenvolvido para a disciplina de Trabalho de Concluso de Curso II TCC II para: Objetivos estritamente acadmicos, como exposio/apresentao em Seminrios ou Simpsios e outros eventos internos ou externos; Divulgao interna ou externa, para fins acadmicos.
________________________________
________________________________ Prof. MSc. Cid Bendahan Coelho
Rubens Jos de Souza
Cintra
AGRADECIMENTOS
A Deus pela vida que me concedeste e por mais esta conquista.
A minha querida esposa Leila Maria e s minhas queridas filhas Leilliany e Rubbiany, que de certa forma me ajudam a superar os desafios que me so impostos.
A todos os professores e colegas que com sua presena e companheirismo me incentivaram e proporcionaram-me vrios momentos de aprendizagem e, principalmente, ao professor e mestre Cid Bendahan Coelho Cintra cuja pacincia e conselho sempre vieram na hora certa e que no poupou esforos e preciosas horas de seu tempo em minha orientao.
Obrigado a todos.
RESUMO
Este trabalho apresenta e analisa a segurana da informao em servidores que disponibilizam informaes voltadas para intranet da Caixa Econmica Federal. Primeiramente, so apresentados os conceitos de vrios tpicos abordados no trabalho, como redes de computadores, protocolos, internet, intranet, extranet, poltica de segurana da informao, controle de acesso, infra-estrutura de chave pblica, sistema operacional e servios de informaes voltados para intranet. A nfase do trabalho foi a aplicao de questionrio e anlise de riscos e vulnerabilidades por meio de comparao dos resultados obtidos versus matriz de risco. Conclui-se que no existe situao efetiva de segurana nos servidores de informaes e se prope recomendaes com base nas normas de segurana NBR ISO/IEC 17799:2005 e nas orientaes emitidas pela Microsoft Corporation. Palavras chaves: Segurana da Informao. Intranet.
ABSTRACTThis work presents and it analyzes the safety of the information in servers that possess information of the intranet of Caixa Econmica Federal. Firstly, the concepts of several topics approached in the healthy work presented, as nets of computers, protocols, internet, intranet, extranet, politics of safety of the information, access control, and infrastructure of public key, operating system and services of information for intranet. The emphasis of the work is the questionnaire application and analysis of risks and flaws through comparison of the results obtained with the risk head office. I concluded that effective situation of safety doesn't exist in the servers of information and I propose recommendations with base in safety's NBR ISO/IEC 17799:2005 norms and in the orientations emitted by Microsoft Corporation. Word Keys: Safety of the Information. Intranet.
8
Lista de tabelasTabela 1 Recursos mnimos de hardwares para as diferentes edies do Windows Server 2003...............................................................................................................71 Tabela 2 Portas TCP padro para servios web ....................................................80 Tabela 3 Matriz de Risco Poltica de Controle de Acesso ...................................94 Tabela 4 Matriz de Risco Gerenciamento de acesso de usurio ........................94 Tabela 5 Matriz de Risco Responsabilidades dos usurios ................................95 Tabela 6 Matriz de Risco Controle de acesso rede..........................................95 Tabela 7 Matriz de Risco Poltica de segurana para servidores que disponibilizam servios voltados para intranet ..........................................................96 Tabela 8 Legenda ..................................................................................................96 Tabela 9 Configuraes de senha para conta......................................................101 Tabela 10 Configuraes de auditoria..................................................................102 Tabela 11 Atribuies de direito do usurio .........................................................102 Tabela 12 Opes de segurana .........................................................................104 Tabela 13 Utilitrios de linha de comando. ..........................................................109 Tabela 14 Classificao de arquivos do site. .......................................................115 Tabela 15 Extenses mapeadas e que devero ser removidas...........................116
9
Lista de FigurasFigura 1 Organograma da Empresa.......................................................................26 Figura 2 Modelo baseado no mainframe e no acesso via terminais burros. ........28 Figura 3 Modelo baseado em cliente/servidor e no acesso via cliente...................29 Figura 4 Modelo de desenvolvimento em duas camadas. .....................................31 Figura 5 Modelo de desenvolvimento em trs camadas. .......................................32 Figura 6 Modelo de desenvolvimento em quatro camadas. ...................................33 Figura 7 Rede de pesquisadores depois da ARPAnet. ..........................................36 Figura 8 Rede local baseada no protocolo TCP/IP. ...............................................37 Figura 9 Ligao entre rede baseada no protocolo TCP/IP. ..................................38 Figura 10 Criptografia com chave simtrica. ..........................................................54 Figura 11 Criptografia com chave assimtrica. ......................................................55 Figura 12 Controle de acesso do IIS ......................................................................75 Figura 13 Diagrama Gerenciador de Autorizao ..................................................79 Figura 14 Configurao do arquivo de log Security..............................................100 Figura 15 Excluso dos diretrios da partio sistema no servio de indexao.101 Figura 16 Servio de Terminal Encryption level High ........................................111 Figura 17 Servio de Terminal Configuraes da guia sessions.......................112 Figura 18 Servio de Terminal Configurao da guia remote control................112 Figura 19 Servio de Terminal Configurao da guia Client Settings ...............113 Figura 20 Servio de Terminal Configurao da guia Client Settings .............113 Figura 21 Servio de Terminal Configurao da guia Client Settings .............114 Figura 22 Configurao do arquivo de log do IIS. ................................................116 Figura 23 Implementando criptografia de 128 bits no IIS. ....................................119
10
Lista de Abreviaturas e SiglasAD ADSL ANSI ARPA ARPANET ASCII ASP CEN CENELEC COM CPF CSP CTL DC DHCP DLL DNS DSA EAP ECDH ECDSA ETSI EUA FAT FTP GUID HD HDS HTML HTTP HTTPS Active Directory Asymmetric Digital Subscriber Line American National Standards Institute Advanced Research Project Agency Advanced Research Projects Agency Network American Standard Code for Information Interchange Active Server Pages Comit Europen de Normalisation Comit Europen de Normalisation Elctrotechnique Component Object Model Cadastro de Pessoas Fsicas Cryptographic Service Provider Certificate Trust List Domain Controler Dynamic Host Configuration Protocol Dynamically Linked Library Domain Name System Digital Signature Algorithm Extensible Authentication Protocol Elliptic Curve Diffie-Hellman Elliptic Curve Digital Signature Algorithm European Telecommunications Standards Institute Estados Unidos da Amrica File Allocation Table File Transfer Protocol Globally Unique Identifier Hard Disk Hitachi Data Systems Hyper Text Markup Language Hypertext Transfer Protocol Hypertext Transfer Protocol Secure
11 IAS IBM ICF ICP IEC IEEE IIS IP IPSec IPX ISAPI ISO ITU MDAC MIPS MSU MUX NCP NCSA NETBEUI NIST NNTP NTFS ODBC PC PDF PGP PIN PKCS POP RAM RDS RPC RRAS Internet Authentication Service International Business Machines Internet Connection Firewall Infra-estrutura de Chave Pblica International Electro technical Commission Institute of Electrical and Electronics Engineers Internet Information Services Internet Protocol Internet Protocol Security Internetwork Packet Exchange Application Programming Interface International Organization for Standardization International Telecommunications Union Microsoft Data Access Components Milhes de instrues por segundo Milhes de unidades de servio Multiplexador Network Control Protocol National Center for Supercomputing Applications NetBIOS Extended User Interface National Institute for Standards and Technology Network News Transfer Protocol New Technology File System Open Data Base Connectivity Personal Computer Portable Document Format Pretty Good Privacy Personal Identification Number Public Key Cryptography Standard Post Office Protocol Random Access Memory Remote Data Services Remote Procedure Call Routing and Remote Access Service
12 RSA SDSI SET SGC SMTP SPKI SPX SQL SSH SSL TCP TLS UDP UNC URL W3C WINS WSRM WWW XML Ron Rivest e Adi Shamir Simple Distributed Security Infrastructure Secure Electronic Transaction Server-gated Cryptography Simple Mail Transfer Protocol Simple Public Key Infrastructure Sequenced Packet Exchange Structured Query Language Secure Shell Secure Sockets Layer Transmission Control Protocol Transport Layer Security User Datagram Protocol Universal Naming Convention Universal Resource Locator World Wide Web Consortium Windows Internet Naming Service Windows System Resource Manager World Wide Web extensible Markup Language
13
Sumrio
1 INTRODUO .......................................................................................................20 2 PROCEDIMENTOS METODOLGICOS...............................................................21 3 ESTRUTURA ORGANIZACIONAL .......................................................................22 3.1 A EMPRESA .......................................................................................................22 3.2 MISSO .............................................................................................................22 3.3 ORGANOGRAMA .................................................................................................22 4 REFERENCIAL TERICO.....................................................................................27 4.1 FUNDAMENTOS DE REDES ...................................................................................27 4.1.1 Introduo .................................................................................................27 4.1.2 Redes de computadores ...........................................................................27 4.1.2.1 Modelo centralizado baseado no mainframe ......................................27 4.1.2.2 Modelo descentralizado baseado em cliente/servidor ........................28 4.1.2.2.1 Servidores de rede.......................................................................29 4.1.2.3 Modelo de aplicaes em duas camadas...........................................29 4.1.2.4 Modelo de aplicaes em trs camadas.............................................31 4.1.2.5 Modelo de aplicaes em quatro camadas ........................................32 4.1.3 Papel do Windows Server 2003 na rede ...................................................33 4.2 PROTOCOLOS ....................................................................................................34 4.2.1 Fundamentos ............................................................................................34 4.2.2 Protocolo TCP/IP.......................................................................................35 4.2.2.1 Configuraes do protocolo TCP/IP ...................................................36 4.3 INTERNET/INTRANET/EXTRANET ..........................................................................38 4.3.1 Internet ......................................................................................................38 4.3.2 Intranet ......................................................................................................40 4.3.3 Extranet.....................................................................................................41 4.4 POLTICA DE SEGURANA DE INFORMAO ..........................................................41 4.4.1 Introduo .................................................................................................41 4.4.2 Objetivos de segurana.............................................................................42 4.4.2.1 Diretrizes para implementao ...........................................................43
14 4.4.3 Legislao Brasileira e Instituies Padronizadas ....................................43 4.4.3.1 Legislao Brasileira...........................................................................44 4.4.3.2 Instituies Padronizadoras Nacionais e Internacionais.....................45 4.4.4 Identificando os Recursos .........................................................................45 4.4.4.1 Classificao das informaes ...........................................................45 4.4.4.2 Classificao dos sistemas.................................................................46 4.4.5 Ativos ........................................................................................................46 4.4.6 Riscos .......................................................................................................47 4.4.7 Ameaas ...................................................................................................48 4.4.8 Ataques .....................................................................................................48 4.4.9 Manuteno da Poltica.............................................................................49 4.4.9.1 Diretrizes para implementao ...........................................................50 4.5 CONTROLES DE ACESSO .....................................................................................50 4.5.1 Lgico........................................................................................................51 4.5.2 Fsico.........................................................................................................51 4.5.3 Ambiental ..................................................................................................52 4.6 INFRA-ESTRUTURA DE CHAVE PBLICA ICP .......................................................52 4.6.1 Introduo ICP .......................................................................................52 4.6.2 Conceitos Necessrios..............................................................................52 4.6.2.1 Criptografia .........................................................................................53 4.6.2.1.1 Chaves simtricas........................................................................53 4.6.2.1.2 Chaves assimtricas ....................................................................54 4.6.2.1.3 Algoritmos ....................................................................................55 4.6.2.2 Autenticao .......................................................................................55 4.6.2.2.1 Sign-on.........................................................................................56 4.6.2.2.2 Single sing-on (SSO) ...................................................................56 4.6.2.3 Autenticao forte...............................................................................57 4.6.2.3.1 Tokens .........................................................................................57 4.6.2.3.2 Smartcards...................................................................................57 4.6.2.3.3 Biometria ......................................................................................57 4.6.3 Servios oferecidos pela ICP ....................................................................58 4.6.3.1 Privacidade .........................................................................................58 4.6.3.2 Integridade..........................................................................................58 4.6.3.3 Autenticidade ......................................................................................58
15 4.6.4 Servios disponveis com a utilizao da ICP ...........................................59 4.6.4.1 Segurana na Comunicao...............................................................59 4.6.4.2 Carimbo de tempo seguro ..................................................................59 4.6.4.3 No-repdio ........................................................................................59 4.6.4.4 Gerncia de privilgios .......................................................................60 4.6.4.5 Recuperao de chaves .....................................................................60 4.6.5 Ameaas e vulnerabilidades .....................................................................60 4.6.5.1 Perfil de um hacker.............................................................................61 4.6.5.2 Hackers x crackers .............................................................................61 4.6.5.3 Script kiddies ......................................................................................61 4.6.5.4 Funcionrios insatisfeitos e ex-funcionrios .......................................61 4.6.5.5 Engenharia Social...............................................................................61 4.6.5.6 Anatomia de um ataque de hacker .....................................................62 4.6.6 As vulnerabilidades mais crticas de segurana na Internet......................62 4.6.6.1 Instalaes padro de sistemas operacionais e softwares.................62 4.6.6.2 Contas de usurios e senhas .............................................................62 4.6.6.3 Backup incompleto ou inexistente ......................................................63 4.6.6.4 Grande nmero de servios/portas abertas........................................63 4.6.6.5 Ausncia de filtro da rede local da empresa.......................................63 4.6.6.6 Sistema de logs e auditorias incompletas ou inexistentes..................64 4.6.6.7 Buffer overflow....................................................................................64 4.6.6.7.1 Remote Procedure Call (RPC) .....................................................64 4.6.6.8 Brecha nos servios de dados remotos (RDS) do IIS.........................65 4.6.7 Certificao e certificados .........................................................................65 4.6.7.1 Introduo...........................................................................................65 4.6.7.2 Tipos de certificado.............................................................................66 5.6.7.2.1 X.509............................................................................................66 4.6.7.2.2 Simple Public Key Infrastructure/Simple Distributed Security Infrastructure (SPKI/SDSI) ..........................................................................67 4.6.7.2.3 Secure Electronic Transaction (SET) ...........................................67 4.6.7.3 Public Key Cryptography Standards (PKCS) ......................................67 4.7 SISTEMA OPERACIONAL......................................................................................68 4.7.1 Introduo .................................................................................................68 4.7.2 Funes Bsicas .......................................................................................69
16 4.7.3 Windows Server 2003 ...............................................................................69 4.7.3.1 Windows Server 2003 Standard Edition .............................................70 4.7.3.2 Windows Server 2003 Enterprise Edition ...........................................70 4.7.3.3 Windows Server 2003 Data Center Edition ........................................70 4.7.3.4 Windows Server 2003 Web Edition ....................................................71 4.7.4 Comparao entre as diferentes edies..................................................71 4.8 INTERNET INFORMATION SERVICES 6.0 (IIS).........................................................71 4.8.1 Introduo .................................................................................................71 4.8.2 Segurana.................................................................................................72 4.8.2.1 Recomendaes para Servidor Web com IIS .....................................72 4.8.2.2 Tipo de Autenticao ..........................................................................73 4.8.2.2.1 Autenticao de Sites ..................................................................73 4.8.2.2.2 Autenticao de Sites FTP...........................................................74 4.8.2.3 Controle de Acesso.........................................................................74 4.8.2.3.1 Permisses NTFS ........................................................................75 4.8.2.3.2 Permisses de sites .....................................................................75 4.8.2.3.3 Contas do IIS e contas internas ...................................................76 4.8.2.3.4 Acesso annimo...........................................................................77 4.8.2.3.5 Configurando identidade do processo de trabalho.......................77 4.8.2.3.6 Protegendo sites com restries de endereo IP.........................77 4.8.2.3.7 Protegendo diretrios virtuais.......................................................78 4.8.2.3.8 Autorizao da URL .....................................................................78 4.8.2.4 Filtragem de porta TCP/IP ..................................................................79 4.8.2.4.1 Atribuies de portas para servios web......................................79 4.8.2.4.2 Ferramentas de filtragem de portas .............................................80 4.8.2.5 Criptografia .........................................................................................80 4.8.2.5.1 Ativando a criptografia .................................................................81 4.8.2.5.2 Definindo o nvel de criptografia...................................................81 4.8.2.6 Certificado Digital................................................................................81 4.8.2.6.1 Autoridades de certificao ..........................................................82 4.8.2.6.2 Certificados de servidor................................................................82 4.8.2.6.3 Server-gated Cryptography (SGC)...............................................82 4.8.2.6.4 Provedor de servios de criptografia selecionvel .......................83 4.8.2.6.5 Certificados de cliente ..................................................................83
17 4.8.2.6.6 Lista de certificados confiveis.....................................................83 4.8.2.6.7 Deteco de certificados de cliente revogados ............................83 4.8.3 LOGs de atividades do site .......................................................................84 4.8.3.1 Habilitando o log .................................................................................84 4.8.3.2 Personalizando o log estendido do W3C............................................84 4.8.3.3 Salvando arquivos de log ...................................................................85 4.8.3.4 Convertendo arquivos de log em formato NCSA ................................85 4.8.3.5 Log binrio centralizado......................................................................85 4.8.3.6 Mdulos de log personalizados ..........................................................86 4.8.3.7 Log remoto .........................................................................................86 4.8.3.8 Cdigos de erro em arquivos de log ...................................................87 4.8.4 Metabase do IIS ........................................................................................87 4.8.4.1 Estrutura .............................................................................................87 4.8.4.2 Segurana ..........................................................................................87 4.8.4.3 Backup................................................................................................88 4.8.4.4 Importao e Exportao....................................................................88 4.8.5 Ajuste de desempenho..............................................................................88 4.8.5.1 Desempenho e Segurana .................................................................88 4.9 POLTICA DE CONTROLE DE ACESSO ....................................................................89 4.9.1 Ambiente centralizado (grande porte) .......................................................89 4.9.1.1 Ambiente mainframe IBM ...................................................................89 4.9.1.2 Ambiente SUN ....................................................................................90 4.9.1.3 Ambiente x86......................................................................................90 4.9.1.4 Storage em disco................................................................................90 4.9.1.5 Storage em fita ...................................................................................90 4.9.2 Ambiente descentralizado (baixa plataforma) ...........................................91 4.9.2.1 Servidores que disponibilizam servios voltados para intranet...........91 4.9.3 Ambiente de telecomunicaes ................................................................92 4.9.4 Ambiente de telefonia................................................................................93 4.9.5 Recursos humanos ...................................................................................93 4.10 ANLISE DE RISCOS E VULNERABILIDADES ........................................................93 4.10.1 Avaliao de Risco..................................................................................93 4.10.2 Resultado da avaliao de risco .............................................................97 4.10.2.1 Poltica de controle de acesso ..........................................................97
18 4.10.2.2 Gerenciamento de acesso de usurio ..............................................97 4.10.2.3 Responsabilidades dos usurios ......................................................97 4.10.2.4 Controle de acesso rede................................................................97 4.10.2.5 Poltica de segurana para servidores que disponibilizam servios voltados para intranet .....................................................................................98 4.11 SOLUES E RECOMENDAES.........................................................................98 4.11.1 Poltica de controle de acesso ................................................................98 4.11.2 Gerenciamento de acesso de usurio.....................................................99 4.11.3 Controle de acesso rede ......................................................................99 4.12 POLTICA DE SEGURANA PARA SERVIDORES QUE DISPONIBILIZAM SERVIOSVOLTADOS PARA INTRANET .......................................................................................99
4.12.1 Configuraes do Servidor ......................................................................99 4.12.1.1 Requisitos de Hardware ...................................................................99 4.12.1.2 Arquivos de log ...............................................................................100 4.12.1.3 Servio de Indexao ....................................................................100 4.12.1.4 Proteo de tela..............................................................................101 4.12.1.5 Usurios administrator e guest .......................................................101 4.12.1.6 Poltica de segurana local .............................................................101 4.12.1.6.1 Senha.......................................................................................101 4.12.1.6.2 Auditoria ...................................................................................102 4.12.1.6.3 Atribuies de direitos do usurio ............................................102 4.12.1.6.4 Opes de segurana ..............................................................104 4.12.1.7 Configuraes de registro...............................................................107 4.12.1.8 Permisses de Registro..................................................................108 4.12.1.9 Sistemas de arquivos - Access Control List (ACL) .........................109 4.12.1.10 Utilitrios de linha de comando.....................................................109 4.12.1.11 Servios ........................................................................................110 4.12.1.12 Configuraes do servio de terminal...........................................111 4.12.2 Configuraes do servio de informaes da intranet (IIS) 6.0.............114 4.12.2.1 Configuraes de registro especfico do IIS ...................................114 4.12.2.2 Localizao e permisso para arquivos..........................................115 4.12.2.3 Arquivo de log do IIS ......................................................................115 4.12.2.4 Extenses mapeadas e removidas.................................................116 4.12.2.5 Extenso WebDAV .........................................................................116
19 4.12.2.6 Mtodo de autenticao .................................................................117 4.12.2.6.1 Autenticao do site.................................................................117 4.12.2.6.2 Permisses NTFS ....................................................................117 4.12.2.7 Criptografia .....................................................................................118 4.12.2.8 Certificado digital de servidor..........................................................119 4.12.2.9 Metabase do IIS..............................................................................119 4.12.2.9.1 Backup da metabase ...............................................................119 4.12.2.9.2 Segurana da metabase em nvel de arquivo ..........................119 5 CONCLUSO ......................................................................................................121 6 REFERNCIAS BIBLIOGRFICAS ....................................................................122 GLOSSRIO...........................................................................................................124 ANEXO A ................................................................................................................126
20
1 INTRODUOCom o avano da tecnologia nos ltimos anos, a concorrncia comercial entre as empresas assume carter globalizado e faz com que os ganhos de competitividade sejam objeto de busca permanente. Nesse contexto, a informao passa a ser o bem maior de cada empresa como trunfo de negcios e, como tal, deve ser resguardada adequadamente segundo sua classificao e grau de importncia. Como imperativo desta realidade to mutante, criam-se novos mtodos de trabalhos, novas formas de negcios e de relaes entre empresas e clientes. O papel gradualmente substitudo por documentos digitais, altera-se, por conseguinte, o paradigma da concepo e da forma de guardar informaes. Os acessos s informaes tornam-se cada vez mais rpidos. O vaivm em formas digitais atravs de conexes de rede de computadores cresce em ritmo exponencial, pondo em risco de violao os dados mais secretos e sigilosos das empresas. Com este cenrio convive presentemente toda sociedade empresria, e, como no poderia deixar de ser, afeta igualmente a economia interna da Caixa Econmica Federal, instituio financeira oficial que se toma como base para as propostas objeto deste trabalho. Propostas que tm em vista, essencialmente, a implantao de padres capazes de respaldar os normativos da empresa e as normas tcnicas de segurana, de forma que seja assegurada a indispensvel confidencialidade e integridade s informaes digitais da empresa, particularmente daquelas sob a guarda de seus servidores web regionais. Os servidores web regionais disponibilizam sites de contedos das vrias filiais espalhadas pelo Brasil. Muitas dessas filiais possuem informaes restritas, de acesso limitado e pertinentes apenas sua rea de atuao, afigurando-se necessrio que se lhes garantir integridade e confidencialidade. Vrios desses servidores ainda utilizam verses do Windows NT Server 4, sistema operacional que j foi descontinuado pelo fabricante e, por isso, no mais possui suporte nem patch de atualizao contra vulnerabilidades. Da, a necessidade de substituir-se a verso do sistema operacional em uso por verso mais recente (Windows Server 2003).
21 Nesta ordem de idias, e, como objetivo geral, prope-se neste trabalho nova poltica de segurana para os servidores que disponibilizam servios voltados para Intranet da CEF, a fim de que se imprima confidencialidade e integridade aos respectivos contedos. Para esse efeito, cuidados de levar a cabo as seguintes e especficas tarefas: - Anlise do problema apresentado; - levantamento da estrutura da empresa; - levantamento de risco e vulnerabilidades com aplicao de questionrio; - avaliao de risco utilizando matriz de risco; - anlise dos resultados da avaliao de risco; e - apresentao das solues propostas e recomendaes para o problema apresentado.
2 PROCEDIMENTOS METODOLGICOSO desenvolvimento deste trabalho respalda-se em livros de Segurana da Informao e Sistemas Operacionais, na norma tcnica NBR ISO/IEC 17799:2005 e NBR ISO/IEC 27001 e nas disciplinas estudadas no decorrer do curso. Realizou-se, por meio do inventrio de hardware e software da empresa estudada, um mapeamento dos servidores Web a fim de verificar a necessidade de atualizao de hardware de forma a atender os pr-requisitos para instalao do Windows Server 2003. Desse levantamento foi elaborada uma planilha da radiografia de tais servidores. Tambm se fez levantamento da verso do sistema operacional e verso do IIS utilizado bem como formas das configuraes implementadas. Efetuou-se tal operao por meio de inventrio de hardware e software e os dados tabulados em planilhas. Para fins de levantamento de risco e vulnerabilidades, foi aplicado questionrio a qual se encontra no anexo A. A CEF possui normativos de Poltica de Segurana para Intranet, Poltica de Segurana da Informao e Classificao da Informao. Os dados levantados foram confrontados com estes normativos e com as normas ISO/IEC 17799 e
22 ISO/IEC 27001 a fim de indicar o que est em desacordo e recomendar um padro de controle de acesso a ser implementado, compatveis com as normas vigentes.
3 ESTRUTURA ORGANIZACIONAL3.1 A EmpresaA CAIXA ECONMICA FEDERAL (CEF) uma instituio financeira criada sob a forma de empresa pblica pelo Decreto Lei n. 759, de 12 de agosto de 1969. Vinculada ao Ministrio da Fazenda, a CEF tem sede e foro na capital da Repblica e atuao em todo o territrio nacional. A instituio integra o Sistema Financeiro Nacional e auxilia na execuo da poltica de crdito do Governo Federal. Assim como as demais instituies financeiras, est sujeita s decises e disciplina normativa do rgo competente e fiscalizao do Banco Central do Brasil (CAIXA, 2006).
3.2 MissoEssencialmente, a misso da CEF promover a melhoria contnua da qualidade de vida da populao brasileira, intermediando recursos e negcios financeiros, atuando no fomento ao desenvolvimento urbano e nos segmentos de habitao, saneamento e infra-estrutura, e na administrao de fundos, programas e servios de carter social, tendo como valores fundamentais: - Direcionamento de aes para o atendimento das expectativas da sociedade e dos clientes; - busca permanente de excelncia na qualidade dos servios oferecidos; - equilbrio financeiro em todos os negcios; - conduta tica pautada nos valores da sociedade e - respeito e valorizao do ser humano (CAIXA, 2006).
3.3 OrganogramaSo rgos de administrao da CEF:
23 - Conselho de Administrao, responsvel pela orientao geral dos negcios da CEF, sendo composto de sete conselheiros nomeados pelo Ministro de Estado da Fazenda para mandatos de trs anos, podendo ser reconduzidos por igual perodo. - Conselho Fiscal, que composto de cinco membros efetivos (e suplentes), escolhidos pelo Ministro de Estado da Fazenda. Ao Conselho Fiscal compete exercer as atribuies referentes ao seu poder de fiscalizao, entre elas: fiscalizar os atos dos administradores, verificando o cumprimento de seus deveres legais e estatutrios, e examinar as demonstraes financeiras semestrais e anuais da CEF. - Conselho Diretor, colegiado composto pelo presidente da CEF e por nove vice-presidentes, nomeado pelo Presidente da Repblica por indicao do Ministro de Estado da Fazenda, ouvido o Conselho de Administrao. Ao Conselho Diretor cabe, entre outras atividades, aprovar e apresentar ao Conselho de Administrao as polticas, as estratgias corporativas, o plano geral de negcios, os programas de atuao de longo prazo e decidir sobre a estrutura organizacional da CEF. - Presidente e onze vice-presidentes, com a incumbncia de executar e fazer executar as deliberaes do Conselho de Administrao e as decises do Conselho Diretor. - A vice-presidncia de tecnologia (VITEC) a responsvel pela tecnologia da empresa e possui duas superintendncias sendo a superintendncia de tecnologia (SUATE), responsvel pela sustentao de tecnologia e a
superintendncia de desenvolvimento (SUDES), responsvel pelo desenvolvimento de software. Ligado a SUATE temos a hierarquia que se segue: - Gerncia nacional (GEADE), responsvel pelo processo instalar/manter infra-estrutura tecnolgica descentralizada. Centralizadora de suporte tecnolgico (CESUT), com as principais atividades: - Prestar suporte especializado de segundo nvel nas demandas de usurios dos servios intranet atravs de telefone, Caixa M@il e sistema de atendimento (SIATE); - coordenar e controlar a instalao/manuteno dos equipamentos e servios intranet instalados nas gerncias, representaes e unidades regionais vinculadas, atuando junto aos analistas intranets das GISUT;
24 - auditar os servidores web regionais no tocante aos padres e normas estabelecidos para sua instalao/manuteno; - coordenar e apoiar a instalao de novas verses dos sistemas e servios intranet; - controlar e propor atualizao para os equipamentos instalados no ambiente intranet; - publicar na intranet relatrios de avaliao e performance dos sites de contedo das unidades regionais; - controlar e apoiar a implementao de novos normativos e padres por parte das gerncias e representaes regionais; - pesquisar bases de conhecimento objetivando a melhoria da performance dos servios intranet e do suporte aos usurios; - acompanhar o desempenho dos servidores intranet instalados nas GISUT e RESUT; - propor e manter padronizao de contedo para os sites regionais de responsabilidade da GISUT e RESUT; - gerenciamento de grupos e usurios dos controles de domnios da rede da CEF; - auditoria da utilizao de senhas padronizadas nos banco de dados dos servidores bancrios localizados em cada agncia; - auditoria de segurana nos demais servidores e estaes; - elaborao de boletins gerenciais de segurana, englobando os nmeros da rede, as infeces e os novos vrus surgidos no perodo; - suporte a todos os sistemas operacionais Windows, alm dos servios bsicos de rede, como DHCP, DNS e WINS; - monitorao de filas de mensagens e servios ativos nos servidores Exchange; - verificao da execuo do backup diria e semanal dos servidores Exchange; - Gerncia regional de suporte tecnolgico de segundo nvel (GISUT). - Representao regional de suporte tecnolgico de segundo nvel (RESUT). As gerncias e representaes regionais de suporte tecnolgico de segundo nvel so responsveis por manter os sites das unidades regionais da CEF bem
25 como prestar todo o suporte aos usurios finais com relao s ocorrncias ligadas a hardware e software da baixa plataforma. A seguir, podemos observar a estrutura organizacional da CEF. Nela, encontra-se destacada, a repartio foco deste projeto (CAIXA, 2006).
26Figura 1 Organograma da Empresa.
27
4 REFERENCIAL TERICO4.1 Fundamentos de Redes4.1.1 Introduo
Durante a dcada de 70 e meados de 80 utilizava-se um modelo centralizado baseado em mainframe. Os programas e os dados eram disponibilizados em um computador de grande porte; e o acesso aos programas e dados era feitos por meio de terminais sem poder de processamento, conhecidos como terminais burros. Esse modelo possui inmeras vantagens como, por exemplo, gerenciamento e administrao centralizada, ambiente mais seguro e facilidade para atualizao dos sistemas; entretanto, possui um custo alto, principalmente em questes de contingenciamento, dependncia da linha de comunicao e quase sempre os dados das empresas eram administrados por terceiros. Tal arquitetura ainda bastante utilizada atualmente, mas apenas para disponibilizar aplicaes de cunho corporativo. Com a evoluo da tecnologia de forma acelerada, os programas foram, e esto sendo transformados, passando a serem alocados em vrias partes da rede corporativa. Surge o modelo ciente/servidor, com caractersticas diferentes das do mainframe, o primeiro com seus dados distribudos e o segundo com seus dados centralizados.
4.1.2 Redes de computadores 4.1.2.1 Modelo centralizado baseado no mainframe
De acordo com Battisti (2003, p. 27), H algumas dcadas, quando a informtica comeou a ser utilizada para automatizar tarefas administrativas nas empresas, tnhamos um modelo baseado nos computadores de grande porte, o chamado Mainframe, conforme figura 2.Os aplicativos e dados ficam armazenados no Mainframe. Vamos supor que a empresa X a dona do Mainframe, no qual esto hospedados aplicativos e dados da empresa Y. Para ter acesso a estes dados, a empresa Y contrata uma linha de dados (que at o incio da dcada de 90, aqui no Brasil, apresentava velocidades da ordem de 1 ou 2 kbps). Na sede da empresa, a linha de dados conectada a um Modem, o qual era conectado com um equipamento chamado MUX. O papel do MUX permitir que mais de um terminal burro possa se comunicar com o Mainframe, usando uma
28nica linha de dados. Os terminais burros eram ligados ao equipamento MUX, diretamente atravs de cabos padro para este tipo de ligao. Com isso, os terminais so na prtica uma extenso da console do Mainframe, o qual permite que vrios terminais estejam conectados simultaneamente, inclusive acessando diferentes sistemas. Este modelo ainda muito utilizado, embora novos elementos tenham sido introduzidos. Por exemplo, os terminais burros foram praticamente extintos. Agora o terminal simplesmente um software emulador de terminal, que fica instalado em um computador ligado em rede. Mas muitos dos sistemas e dados empresariais utilizados hoje em dia ainda esto hospedados no Mainframe. Pegue a lista dos dois maiores bancos brasileiros (pblicos ou privados) e, no mnimo, cinco deles ainda tm grande parte dos dados no Mainframe (BATTISTI, 2003, p.28). Figura 2 Modelo baseado no mainframe e no acesso via terminais burros.
FONTE: Battisti (2003, p.27)
4.1.2.2 Modelo descentralizado baseado em cliente/servidor Na dcada de 80 e inicio dos anos 90, os computadores padro Personal Computer (PC), j eram uma realidade e as empresas passaram a utiliz-lo em grande escala. Por este motivo, os preos comearam a baixar e as empresas a usarem cada vez mais. O passo seguinte neste processo foi, de forma natural, a ligao dos computadores em rede de forma que pudesse facilitar a troca de informaes de computador para computador, comeava a nascer o modelo cliente/servidor, conforme podemos observar no diagrama da figura 3.A idia bsica do modelo cliente/servidor era uma descentralizao dos dados e dos aplicativos, trazendo os dados para servidores localizados na rede local onde os dados fossem necessrios e os aplicativos instalados nos computadores da rede. Este movimento de um computador de grande porte - Mainframe -, em direo a servidores de menor porte - servidores de
29rede local - foi conhecido como Downsizing, que eu me atrevo a traduzir como "Reduo de Tamanho" (BATTISTI, 2003, p.29). Figura 3 Modelo baseado em cliente/servidor e no acesso via cliente.
FONTE: Battisti (2003, p. 30)
4.1.2.2.1 Servidores de rede So computadores localizados em pontos estratgicos da rede que possui um alto poder de processamento de informaes e armazenamento de dados, com objetivo de executar e disponibilizar servios de rede e aplicaes de usurio como, por exemplo, disponibilizao de pginas web, arquivos, banco de dados, servios de Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP), Windows Internet Naming Service (WINS), Post Office Protocol (POP), Simple Mail Transfer Protocol (SMTP), dentre outros. Com base nestas informaes podemos apresentar o conceito da arquitetura cliente/servidor.A Arquitetura cliente/servidor, de uma maneira simples, nada mais do que uma rede de dispositivos, normalmente computadores, onde um nmero reduzido atua como Servidor - disponibilizando recursos e servios para os demais - e a maioria dos dispositivos atua como cliente, acessando os recursos e servios disponibilizados pelos Servidores (BATTISTI, 2003, p. 5).
4.1.2.3 Modelo de aplicaes em duas camadas
Com o advento da descentralizao e o uso do modelo cliente/servidor, aplicaes foram sendo desenvolvidas em linguagens como Visual Basic, Delphi,
30 Power Builder. Estas aplicaes utilizavam um modelo de desenvolvimento em duas camadas, ou seja, as aplicaes so instaladas em cada computador cliente e a partir deste cliente efetuado a conexo com o servidor de banco de dados (figura 4).[...] No modelo de duas camadas, a aplicao Cliente responsvel pelas seguintes funes: - Apresentao: O Cdigo que gera a Interface visvel do programa faz parte da aplicao Cliente. Todos os formulrios, menus e demais elementos visuais esto contidos no cdigo da aplicao Cliente. Caso sejam necessrias alteraes na Interface do programa, faz-se necessria a gerao de uma nova verso do programa, e todas as estaes de trabalho que possuam a verso anterior devem receber a nova verso, para que o usurio possa ter acesso s alteraes da Interface. Ento comeam a surgir os problemas no modelo em duas camadas: uma simples alterao de Interface suficiente para gerar a necessidade de atualizar a aplicao em centenas ou milhares de estaes de trabalho, dependendo do porte da empresa. O gerenciamento desta tarefa algo extremamente complexo e oneroso. - Lgica do Negcio: As regras que definem a maneira como os dados sero acessados e processados so conhecidas como "Lgica do Negcio". Fazem parte da Lgica do Negcio, desde funes simples de validao da entrada de dados, como o clculo do dgito verificador de um CPF, at funes mais complexas, como descontos escalonados para os maiores clientes, de acordo com o volume da compra. Questes relativas legislao fiscal e escrita contbil tambm fazem parte da Lgica do Negcio. Por exemplo, um programa para gerncia de Recursos Humanos, desenvolvido para a legislao dos EUA, no pode ser utilizado, sem modificaes, por uma empresa brasileira. Isso acontece porque a legislao dos EUA diferente da legislao brasileira. Em sntese, as regras para o sistema de Recursos humanos so diferentes. Alteraes nas regras do negcio so bastante freqentes, ainda mais com as repetidas mudanas na legislao do nosso pas. Com isso, faz-se necessria a gerao de uma nova verso do programa, cada vez que uma determinada regra muda ou quando regras forem acrescentadas ou retiradas. Desta forma, todas as estaes de trabalho que possuem a verso anterior devem receber a nova verso, para que o usurio possa ter acesso s alteraes. Agora temos mais um srio problema no modelo de duas camadas: qualquer alterao nas regras do negcio (o que ocorre com freqncia) suficiente para gerar a necessidade de atualizar a aplicao, em centenas ou milhares de computadores. O que j era complicado piorou um pouco mais (BATTISTI, 2003, p.31).
31Figura 4 Modelo de desenvolvimento em duas camadas.
FONTE: Battisti (2003, p. 31)
4.1.2.4 Modelo de aplicaes em trs camadas O modelo de aplicao em trs camadas uma evoluo do modelo de aplicaes de duas camadas. A idia bsica deste modelo retirar as regras de negcios do cliente e centralizar em algum ponto da rede chamado de servidor de aplicaes. Todos os clientes passam a acessar os dados atravs das regras contidas no servidor e desta forma a manuteno destas regras ficam muito mais fcil (figura 5).[...] Com isso, as trs camadas so as seguintes: - Apresentao - Continua no programa instalado no Cliente. Alteraes na interface do programa ainda iro gerar a necessidade de atualizar a aplicao em todas as estaes de trabalho, onde a aplicao estiver sendo utilizada. Cabe ressaltar, porm, que alteraes na interface so menos freqentes do que alteraes nas regras do negcio. - Lgica - So as regras do negcio, que determinam de que maneira os dados sero utilizados e manipulados pelas aplicaes. Esta camada foi deslocada para o Servidor de Aplicaes. Desta maneira, quando uma regra do negcio for alterada, basta atualiz-la no Servidor de Aplicaes. Aps a atualizao, todos os usurios passaro a ter acesso nova verso, sem que seja necessrio reinstalar o programa Cliente em cada um dos computadores da rede. Vejam que, ao centralizar as regras do negcio em um Servidor de Aplicaes, estamos facilitando a tarefa de manter a aplicao atualizada. As coisas esto comeando a melhorar. - Dados - Nesta camada temos o servidor de banco de dados, no qual reside toda a informao necessria para o funcionamento da aplicao. Cabe reforar que os dados somente so acessados atravs do Servidor de Aplicao e no diretamente pela aplicao Cliente (BATTISTI, 2003, p.33).
32Figura 5 Modelo de desenvolvimento em trs camadas.
Servidor de aplicaes
Servidor de banco de dados
ClienteFONTE: Battisti (2003, p. 33)
Cliente
4.1.2.5 Modelo de aplicaes em quatro camadas Este modelo uma evoluo do modelo de trs camadas. A idia consiste em retirar do cliente, a apresentao da aplicao e centraliz-la em um servidor assim como foi feito com as regras de negcios. Este um modelo parecido com o modelo mainframe com a diferena que as aplicaes so acessadas por computadores com poder de processamento e atravs de navegador como, por exemplo, o Internet Explorer e o Netscape (figura 6).[...] Com isso, temos as seguintes camadas: - Cliente - Neste caso, o Cliente o Navegador utilizado pelo usurio, quer seja o Internet Explorer, quer seja o Netscape Navigator, ou outro navegador qualquer. - Apresentao - Passa para o Servidor Web. A interface pode ser composta de pginas HTML, ASP, PHP, Flash ou qualquer outra tecnologia capaz de gerar contedo para o navegador. Com isso, alteraes na interface da aplicao so feitas diretamente no servidor Web, sendo que estas alteraes estaro, automaticamente, disponveis para todos os Clientes. - Lgica - So as regras do negcio, as quais determinam de que maneira os dados sero utilizados. Esta camada est no Servidor de Aplicaes. Desta maneira, quando uma regra do negcio for alterada, basta atualiz-la no Servidor de Aplicaes. Aps a atualizao, todos os usurios passaro a ter acesso nova verso, sem que seja necessrio reinstalar o programa em cada estao de trabalho da rede. Vejam que, ao centralizar as regras do negcio em um Servidor de Aplicaes, estamos facilitando a tarefa de manter a aplicao atualizada. - Dados - Nesta camada, temos o servidor de banco de dados, no qual reside toda a informao necessria para o funcionamento da aplicao (BATTISTI, 2003, p.34-35).
33Figura 6 Modelo de desenvolvimento em quatro camadas.
Servidor Web
Servidor de Servidor de aplicaes banco de dados
ClienteFONTE: Battisti (2003, p. 34)
Cliente
4.1.3 Papel do Windows Server 2003 na rede
Com o crescimento das migraes de dados e aplicaes dos grandes portes para a baixa plataforma, houve a necessidade de inserir em vrios pontos da rede da empresa, servidores que pudesse executar diferentes tipos de funes como servidor de banco de dados, servidor de aplicaes, servidor de acesso remoto, servidor web, etc.. O Windows Server 2003 foi projetado pela Microsoft para ser o sistema operacional dos servidores da rede para atender estas necessidades. O que define o papel a ser desempenhado por um sistema operacional Windows Server 2003, basicamente so as configuraes e os servios instalados e configurados no servidor. Dentre os vrios papis que poder ser desempenhado pelo Windows Server 2003, destacamos os principais:Controlador de domnio - Em uma floresta do Active Directory, um servidor que contm uma cpia gravvel do banco de dados do Active Directory participa da duplicao do Active Directory e controla o acesso a recursos de rede. Os administradores podem gerenciar contas de usurio, acesso rede, recursos compartilhados, topologia de sites e outros objetos de diretrio a partir de qualquer controlador de domnio na floresta. Servidor de arquivos - Os servidores de arquivos fornecem e gerenciam o acesso a arquivos. Se voc planeja usar o espao em disco do computador para armazenar, gerenciar e compartilhar informaes, como arquivos e aplicativos acessveis pela rede, configure-o como um servidor de arquivos. Servidor de Impresso - Os servidores de impresso fornecem e gerenciam o acesso s impressoras. Configure o computador como servidor de impresso se voc planeja gerenciar impressoras remotamente ou usando a instrumentao de gerenciamento do Windows (WMI), ou se
34deseja imprimir de um computador servidor ou cliente para um servidor de impresso usando um URL. Servidor DNS - Banco de dados distribudo de modo hierrquico que contm mapeamentos de nomes de domnios DNS para vrios tipos de dados, como, por exemplo, endereos IP. O DNS permite a localizao de computadores e servios por nomes amigveis, alm de possibilitar a descoberta de outras informaes armazenadas no banco de dados. Servidor WINS - Um servio de software que mapeia enderecos IP dinamicamente para nomes de computadores (nomes NetBIOS). Permite que os usurios acessem os recursos pelo nome em vez de solicitar que usem enderecos IP difceis de serem reconhecidos e lembrados. Servidor DHCP - Os servidores DHCP gerenciam centralmente endereos IP e informaes afins, fornecendo-as aos clientes. Isso permite que voc defina configuraes de rede cliente em um servidor, em vez de configurlas em cada computador clientes. Servidor Web [...] Os Servios de Informaes da Internet (IIS) fornecem recursos de servidor Web integrados, confiveis, escalonveis, seguros e gerenciveis em uma intranet, na Internet ou em uma extranet. Voc pode usar o IIS 6.0 para criar uma plataforma forte de comunicao de aplicativos de rede dinmicos. O IIS 6.0 inclui novos recursos projetados para ajudar organizaes, profissionais da rea de informtica e administradores da Web a atingir seus objetivos de desempenho, confiabilidade, desempenho e segurana em milhares de sites possveis, em um nico servidor IIS [...]. Servidor de e-mail - Os Servios de email incluem os servios POP3 e SMTP, que oferecem, respectivamente, a recuperao e a transferncia de emails. Os administradores podem usar o servio POP3 para armazenar e gerenciar contas de email no servidor de email. Servidor de acesso remoto - Voc pode configurar um servidor que permita aos usurios remotos acessar recursos de sua rede privada atravs de conexes dial-up ou de redes virtuais privadas (VPN). Esse tipo de servidor chamado de servidor de acesso remoto/VPN. Os servidores de acesso remoto/VPN tambm podem oferecer a converso de endereos de rede (NAT). Com a NAT, os computadores da rede privada podem compartilhar uma nica conexo com a Internet. Servidor de fluxo de mdia - Voc pode usar o Windows Media Services para disponibilizar o fluxo do contedo de udio e vdeo pela Internet ou por uma intranet. Os clientes podem ser computadores ou dispositivos que reproduzem contedo usando um player, como o Windows Media Player, ou computadores que executam o Windows Media Services (chamados de servidores Windows Media) que armazenam em proxy ou em cache ou redistribuem o contedo (MICROSOFT, 2003).
4.2 Protocolos4.2.1 Fundamentos
Protocolo um conjunto de regras adotado por todos os computadores de uma rede de forma que estes computadores tenham capacidade de se comunicar entre si. So no protocolo de comunicao que esto definidos todas as regras para que cada computador entenda uns aos outros, desta forma podemos afirmar que dois computadores utilizando protocolos de comunicao diferentes no sero capazes de se comunicar.
35 Antes do advento da Internet existiam e eram utilizados pelas empresas, vrios tipos de protocolos, dentre eles: Transport Layer Security/Internet Protocol (TCP/IP), NetBIOS Extended User Interface(NETBEUI), Internetwork Packet Exchange/ Sequenced Packet Exchange (IPX/SPX), Apple Talk, etc.. Com o crescimento da Internet, o protocolo TCP/IP tornou-se padro na rede mundial e diante das necessidades das empresas se conectarem nesta rede, tambm tiveram que adotar como protocolo padro em suas rede interna, o protocolo TCP/IP. Segundo Battisti (2003, p. 41), O que temos hoje, na prtica, a utilizao do protocolo TCP/IP na esmagadora maioria das redes [...], sendo este o protocolo padro utilizado pelo Windows Server 2003.
4.2.2 Protocolo TCP/IP O TCP/IP uma coleo de software criada em grande parte com ajuda de recursos governamentais do departamento de defesa do Estados Unidos das Amricas (EUA). Conforme podemos observar no diagrama da figura 7, o departamento de defesa do EUA criou uma rede chamada Advanced Research Projects Agency Network (ARPANET) onde eram feitas grandes partes das pesquisas, do departamento de defesa, chamada Advanced Research Project Agency (ARPA). Esta rede, considerada rede de redes, foi projetada e implementada por uma empreiteira privada chamada Bolt Beranek and Newman, interligando professores, universitrios, lideres de projetos civis e militares por todo o EUA. O primeiro protocolo utilizado nesta rede foi o Network Control Protocol (NCP) sendo posteriormente dividido em dois componentes: o IP e o TCP.A mudana do NCP para o TCP/IP a diferena tcnica entre a ARPANET e a Internet. Em 1 de janeiro de 1983, os dispositivos de comutao de pacotes da ARPANET pararam de aceitar pacotes NCP, para transmitir apenas pacotes TCP/IP; portanto, de certo modo, 1 de janeiro de 1983 considerado o dia do nascimento oficial da Internet (MINASI, 2003, p.151).
36Figura 7 Rede de pesquisadores depois da ARPAnet.
FONTE: Minasi (2003, p. 152).
4.2.2.1 Configuraes do protocolo TCP/IP
No basta que os computadores estejam utilizando o mesmo protocolo para comunicao entre si. Vrios so os parmetros que devero ser configurados em todos os ativos de rede como computadores, hubs, switches, impressoras de rede, etc. E uma rede local, cada ativo de rede dever ter pelo menos dois parmetros de rede configurados: nmero IP e mscara de sub-rede. O nmero IP um nmero do tipo x.y.z.w, separados por ponto e no poder existir dois ou mais nmeros idnticos de endereo IP no mesmo segmento de rede, sendo o valor mximo para cada um dos nmeros x, y, z ou w, 255 (figura 8).
37Figura 8 Rede local baseada no protocolo TCP/IP.
IP: 10.192.168.4 IP: 10.192.168.3 IP: 10.192.168.2 Subnet: 255.255.255.0 Subnet: 255.255.255.0 Subnet: 255.255.255.0
IP: 10.192.168.5 Subnet: 255.255.255.0
IP: 10.192.168.6 Subnet: 255.255.255.0
FONTE: Battisti (2003, p. 42) Uma parte do Nmero IP (1, 2 ou 3 dos 4 nmeros) a identificao da rede, a outra parte a identificao da mquina dentro da rede. O que definem quantos dos quatros nmeros faz parte da identificao da rede e quantos fazem parte da identificao da mquina a mscara de sub-rede (subnet mask). Vamos considerar o exemplo de um dos computadores da rede da Figura 7.2: Nmero IP: 10.192.168.2 e Sub-rede: 255.255.255.0 As trs primeiras partes da mscara de sub-rede (subnet) iguais a 255 indicam que os trs primeiros nmeros representam identificao da rede e o ltimo nmero a identificao do equipamento dentro da rede. Para o nosso exemplo, teramos a rede: 10.192.168, ou seja, todos os equipamentos do nosso exemplo fazem parte da rede 10.192.168 (BATTISTI, 2003, p.42).
Os computadores de uma rede isolada que no esteja conectada a outras sub-redes se comunicaro apenas com os dois parmetros IP e mscara de subrede, entretanto, caso haja necessidade de conectar esta rede com outras subredes, necessrio acrescentar e configurar um roteador com seu respectivo endereo IP e mscara de sub-rede para que a comunicao entre estas redes seja estabelecida. Todas as informaes enviadas ou recebidas entre estas redes, passaro necessariamente pelo roteador. O nmero IP do roteador dever ser informado em todas os computadores no parmetro gateway. No diagrama da figura 9 podemos observar que o segmento de endereamento IP da rede A (10.192.168), diferente do segmento de endereamento IP da rede B (10.10.168), assim, para que estas duas sub-redes se comuniquem necessrio ter um roteador para enviar e receber as informaes entre as duas redes. conhecido como default
38Figura 9 Ligao entre rede baseada no protocolo TCP/IP.
IP: 10.192.168.3 IP: 10.192.168.4 IP: 10.192.168.2 Subnet: 255.255.255.0 Subnet: 255.255.255.0 Subnet: 255.255.255.0 Gateway: 10.192.168.1 Gateway: 10.192.168.1 Gateway: 10.192.168.1
REDE A
IP: 10.192.168.1 Subnet: 255.255.255.0 IP: 10.192.168.5 Subnet: 255.255.255.0 Gateway: 10.192.168.1 IP: 10.192.168.6 Subnet: 255.255.255.0 Gateway: 10.192.168.1
ROTEADORIP: 10.10.168.1 Subnet: 255.255.255.0
IP: 10.10.168.2 IP: 10.10.168.3 IP: 10.10.168.4 Subnet: 255.255.255.0 Subnet: 255.255.255.0 Subnet: 255.255.255.0 Gateway: 10.10.168.1 Gateway: 10.10.168.1 Gateway: 10.10.168.1
REDE B
IP: 10.10.168.5 Subnet: 255.255.255.0 Gateway: 10.10.168.1
IP: 10.10.168.6 Subnet: 255.255.255.0 Gateway: 10.10.168.1
Outro parmetro importante que dever est presente nas redes empresarial e que comum seu uso na Internet o DNS. O DNS o servio de rede responsvel pela resoluo de nomes na rede.Toda a comunicao, em redes baseadas no protocolo TCP/IP feita atravs do Nmero IP. Por exemplo, quando vamos acessar um site: http://www.juliobattidti.com.br/, tem que haver uma maneira de encontrar o Nmero IP do Servidor onde fica hospedado o site. O servio que localiza o Nmero IP associado a um nome o DNS. Por isso a necessidade de informarmos o Nmero IP de pelo menos um Servidor DNS, pois, sem este servio de resoluo de nomes, muitos recursos da rede estaro indisponveis (BATTISTI, 2003, p.44).
4.3 Internet/Intranet/Extranet4.3.1 Internet
Em meados da dcada de 80, o computador j era considerado uma fonte de entretenimento e de informao. Apesar de especialistas acreditarem que essas mquinas distanciariam o homem do convvio social, o surgimento da Internet
39 extinguiu esse pensamento, pois esta possibilitava uma maior interao entre seus usurios, tornando o computador uma eficiente fonte comunicao mundial. A Internet surgiu por projetos desenvolvidos pelo Departamento de Defesa dos Estados Unidos que visavam comunicao entre os centros militares e a criao de uma rede de computadores capaz de resistir a um ataque nuclear. Hoje, uma enorme rede mundial de computadores, em que pode se conectar atravs de: - linha telefnica - com o uso de um MODEM voc se comunica a um provedor de acesso via conexo discada; - fibra tica o uso destas conexes so as que mais crescem atualmente devidos principalmente velocidade de conexo e a vantagem de no utilizao da linha de telefone convencional. Seu servio mais utilizado o Asymmetric Digital Subscriber Line (ADSL); - cabo - o tipo de conexo a cabo no Brasil fornecido pelos operadores de TV por assinatura aproveitando a mesma rede fsica; - rdio e satlite - as comunicaes de rdio e satlite necessitam de uma antena para envio e recebimento. A comunicao por satlite a forma mais rpida de conexo e tambm a mais cara; - provedores de acesso - so empresas que conectam usurios Internet cobrando uma taxa mensal, hora/uso ou uma taxa fixa para acesso por tempo indeterminado. H ainda dois tipos de conexo: as diretas, que so indicadas aos fornecedores de servios que vendem conexes de todos os tipos para pessoas e organizaes, e as conexes dial-up. A Internet tem se tornado cada vez mais comum e necessria. um mundo virtual onde no h diferenas de cor, raa e idade. Ningum a controla. Para sua organizao, existem associaes e grupos que se dedicam para suportar, ratificar padres e resolver questes operacionais, visando promover os objetivos da Internet. A World Wide Web (WWW) possibilita a manipulao multimdia da informao atravs de hipertextos (sistemas em que texto, imagens, som e vdeo so acessados juntos de maneira arbitrria), que so exibidos em pginas Web interligadas entre si atravs de links. Atualmente, seu uso fcil, o contrrio de quando foi criada, que exibia apenas textos em uma interface no to acessiva. Qualquer pessoa pode ter sua pgina na Internet e falar do assunto que desejar e as
40 empresas vem na Web um excelente veculo para venda e divulgao de produtos e servios. Para acessar os sites disponibilizados na Internet necessrio utilizar um programa chamado browser, conhecido no Brasil como navegador. Os mais utilizados hoje so Microsoft Internet Explorer, pera, Mozilla e Netscape Navigator. As pginas da Web ficam armazenadas em computadores permanentemente conectados Internet chamados servidores. Um conjunto de pginas Web armazenadas em um servidor chamado de Web site e cada site possui um endereo nico em toda a Internet conhecido como Universal Resource Locator (URL) e por meio deste endereo que se acessa o site via browser. A linguagem usada para a criao de pginas Web chamada Hyper Text Markup Language (HTML). atravs desta linguagem que so definidos a aparncia do documento. Na Internet existem dois tipos de comunicao entre usurios: o modo assncrono, na qual o usurio pode enviar uma mensagem sem a necessidade do destinatrio esta utilizando a rede no momento como, por exemplo, o e-mail; a comunicao em tempo real, como as salas de bate papo. Para Internet, existem tambm programas auxiliares, como o Adobe Acrobat Reader com arquivos em Portable Document Format (PDF), um formato de distribuio de documentos compactados e que podem ser protegidos contra alterao e at mesmo contra cpias; o Winzip que, com certeza, o programa mais utilizado por ser um compactador, permitindo que o arquivo fique em tamanho menor para o armazenamento ou transferncia. O File Transfer Protocol (FTP), um protocolo utilizado para transferncia de arquivos de uma mquina remota para um computador local, ambos conectados Internet. Pode ser usado atravs de cadastro com conta (login) e senha (password) ou com conta annima (anonymous).
4.3.2 Intranet As empresas descobriram que podem criar redes como a Internet, porm privadas, restrita empresa ou parceiros de negcios. A Intranet cumprem o papel de conectar entre filiais, departamentos, fornecedores, clientes, etc., mesclando com
41 segurana as redes particulares de informao com a estrutura de comunicaes da Internet. A Intranet simplifica a interao do usurio, tornando fcil o acesso a aplicaes e a informaes estticas e dinmicas. Viabiliza uma publicao em tempo real, com informao muito mais atual, favorecendo o desempenho dos funcionrios da empresa. Auxilia no processo de descentralizao das informaes, da distribuio de dados e do desenvolvimento de aplicaes, alm de permitir maior participao do usurio final na criao de aplicaes. Hoje em dia, neste mundo competitivo de negcios, um mnimo de diferenciao em produtos e servios, reduo de custos e facilidades de relacionamento nos negcios so pontos chaves. A rigor uma intranet pode operar apenas como uma rede corporativa dentro dos limites da empresa, porm pode ser vantajosa a ligao da intranet com a internet.
4.3.3 Extranet Extranet (ou extended Internet) a ligao das redes Intranet entre duas empresas parceiras de negcios. Com o advento da Internet e o crescimento das redes internas nas empresas, verificou-se que seria vantajoso interligar empresa e fornecedores que compartilham objetivos comuns e assim facilitar a troca de informaes entre estas empresas.
4.4 Poltica de Segurana de Informao4.4.1 Introduo Atualmente as informaes constituem o objeto de maior valor para as empresas. O progresso da informtica e das redes de comunicao nos apresenta um novo cenrio, no qual os objetos do mundo real esto representados por bits e bytes, que ocupam lugar em outra dimenso e possuem formas diferentes das originais, sem deixar de ter o mesmo valor que os objetos reais e, em muitos casos, chegando a ter um valor maior.
42 De acordo com Associao... (2005, p. 8), Prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes.Desde o surgimento da raa humana na terra, a informao esteve presente atravs de diferentes formas e tcnicas. O homem buscava representar seus hbitos, costumes e intenes com diversos meios que pudessem ser utilizados por ele e por outras pessoas e que pudessem ser levados de um lugar para outro. As informaes importantes eram registradas em objetos preciosos e sofisticados e pinturas magnficas, entre outros, que eram armazenados com muito cuidado em locais de difcil acesso (MDULO; MICROSOFT, 2005).
4.4.2 Objetivos de segurana Segundo Ferreira; Arajo (2006, p. 9), A Poltica de Segurana define o conjunto de normas, mtodos e procedimentos utilizados para a manuteno da segurana da informao, devendo ser formalizada a todos os usurios que fazem uso dos ativos de informao. Segundo Dias (2000, p. 42), [...] Os objetivos de segurana variam de acordo com o tipo de ambiente computacional e a natureza do sistema (administrativo, financeiro, militar, etc.). Os objetivos de segurana as quais os usurios e profissionais de informticas devem se preocupar so:- Confidencialidade ou privacidade - proteger as informaes contra acesso de qualquer pessoa no explicitamente autorizada pelo dono da informao, isto , as informaes e processos so liberados apenas a pessoas autorizadas. - Integridade de dados - evitar que dados sejam apagados ou de alguma forma alterados, sem a permisso do proprietrio da informao. - Disponibilidade - proteger os servios de informtica de tal forma que no sejam degradados ou tornados indisponveis sem a devida autorizao. Para um usurio autorizado, um sistema no disponvel, quando se necessita dele, pode ser to ruim quanto um sistema inexistente ou destrudo. - Consistncia - certificar-se de que o sistema atua de acordo com as expectativas dos usurios autorizados. - Isolamento ou uso legtimo - regular o acesso ao sistema. O acesso no autorizado sempre um problema, pois alm de ser necessrio identificar quem acessou e como, preciso se certificar de que nada importante do sistema foi adulterado ou apagado. - Auditoria - proteger os sistemas contra erros e atos maliciosos cometidos por usurios autorizados. Para identificar os autores e suas aes, so utilizadas trilhas de auditoria e logs, que registram tudo que foi executado no sistema, por quem e quando. - Confiabilidade - garantir que, mesmo em condies adversas, o sistema atuar conforme o esperado (DIAS, 2000, p. 42-44).
43
Os objetivos citados tm seu grau de importncia dependendo o tipo de negcio da empresa. Alguns so mais importantes outros nem tanto, por exemplo, um sistema que necessita de 24 horas de disponibilidade e no possuem dados confidenciais dever prioriza a alta disponibilidade e no a privacidade dos dados. A integridade e a disponibilidade so na maioria os dois objetivos mais enfatizados nos sistemas de uma empresa, entretanto em um sistema bancrio os objetivos mais relevantes so a integridade e auditoria seguidos de privacidade e disponibilidade.
4.4.2.1 Diretrizes para implementaoConvm que o documento da poltica de segurana da informao declare o comprometimento da direo e estabelea o enfoque da organizao para gerenciar a segurana da informao. Convm que o documento da poltica contenha declaraes relativas a: a) uma definio de segurana da informao, suas metas globais, escopo e importncia da segurana da informao como um mecanismo que habilita o compartilhamento da informao (ver introduo); b) uma declarao do comprometimento da direo, apoiando as metas e princpios da segurana da informao, alinhada com os objetivos e estratgias do negcio; c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de anlise/avaliao e gerenciamento de risco; d) breve explanao das polticas, princpios, normas e requisitos de conformidade de segurana da informao especficos para a organizao, incluindo: 1) conformidade com a legislao e com. requisitos regulamentares e contratuais; 2) requisitos de conscientizao, treinamento e educao em segurana da informao; 3) gesto da continuidade do negcio; 4) conseqncias das violaes na poltica de segurana da informao; e) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana da informao; f) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que os usurios devem seguir. Convm que esta poltica de segurana da informao seja comunicada atravs de toda a organizao para os usurios de forma que seja relevante acessvel e compreensvel para o leitor em foco (ABNT BNR ISO/IEC 17799, 2005, P.8).
4.4.3 Legislao Brasileira e Instituies Padronizadas De acordo com Dias (2000, p. 45), A segurana de informaes, em funo de sua grande importncia para a sociedade moderna, deu origem a diversos grupos
44 de pesquisa, cujos trabalhos muitas vezes so traduzidos em padres de segurana [...]. Os padres de segurana so utilizados de certa forma em mbito internacional enquanto que as leis e normas so estabelecidas em carter nacional podendo, s vezes, haver similares entre legislao de pases diferentes.
4.4.3.1 Legislao Brasileira Segundo Dias (2000, p. 46), A nossa legislao, com relao segurana de informaes, no est to consolidada como a legislao americana, porm j existem alguns dispositivos legais sobre assuntos relativos informtica, conforme segue: - lei n 9.609, de 19 de fevereiro de 1998 - dispe sobre a proteo da propriedade intelectual de programa de computador e sua comercializao no pas. - Lei n 9.610, de 19 de fevereiro de 1998 - altera, atualiza e consolida a legislao sobre direitos autorais; - lei n 9.296, de 24 de julho de 1996 - regulamenta o inciso XII, parte final, do art. 5, da Constituio Federal. O disposto nessa lei aplica-se a interceptao do fluxo de comunicaes em sistemas de informtica e telemtica; - decreto n 96.036, de 12 de maio de 1988 - regulamenta a Lei n 7.646, de 18 de dezembro de 1987, revogada pela Lei n 9.609, de 19 de fevereiro de 1998; - decreto n 79.099, de 06 de janeiro de 1977 - aprova o regulamento para salvaguarda de assuntos sigilosos. Tambm temos tramitando na cmara e no senado, os seguintes projetos de lei relativo Segurana da Informao: - projeto de Lei do Senador Renan Calheiros, de 2000 - define e tipifica os delitos informticos; - projeto de Lei n 84, de 1999 - dispe sobre os crimes cometidos na rea de informtica e suas penalidades; - projeto de Lei do Senado n 234, de 1996 - dispe sobre crime contra a inviolabilidade de comunicao de dados de computador; - projeto de Lei da Cmara dos Deputados n 1.713, de 1996 - dispe sobre o acesso, a responsabilidade e os crimes cometidos nas redes integradas de computadores.
45
4.4.3.2 Instituies Padronizadoras Nacionais e InternacionaisNo que diz respeito a normas tcnicas, o Brasil conta com a ABNT (Associao Brasileira de Normas Tcnicas), que estabelece padres a serem seguidos por produtos e servios de vrias reas, inclusive segurana de informaes. Abrange algoritmos de criptografia, tcnicas criptogrficas, gerncia de senhas, controle de acesso para segurana fsica de instalaes de processamento de dados, critrios de segurana fsica relativos ao armazenamento de dados, a microcomputadores e terminais, alm das normas de segurana fsica e ambiental que se aplica a qualquer tipo de prdio, tais como as normas de combate e preveno a incndios (DIAS, 2000, p. 46-47).
No mbito internacional temos algumas instituies cuja funo bsica estabelecer padres, dentre elas: - International Organization for Standardization (ISO); - International Electrotechnical Comission (IEC); - International Telecommunications Union (ITU); - Comit Europen de Normalisation (CEN); - Comit Europen de Normalisation Elctrotechnique (CENELEC); - European Telecommunications Standards Institute (ETSI). Apesar de no serem instituies internacionais, existem vrios organismos padronizadores norte-americanos cujos padres so utilizados mundialmente, tais como: - Institute of Electrical and Electronics Engineers (IEEE); - National Institute for Standards and Technology (NIST); - American National Standards Institute (ANSI).
4.4.4 Identificando os Recursos O que precisa ser protegido? Sob que formas as informaes esto armazenadas? Estas so perguntas que devero ser respondidas na identificao dos recursos. H necessidade de saber quais os recursos mais importantes para assim estabelecer uma poltica adequada. Em um ambiente de informtica os tipos de recursos mais comuns so: hardware, software, dados, pessoas, documentao e suprimentos.
4.4.4.1 Classificao das informaes
46
A classificao das informaes o primeiro passo para o estabelecimento de uma poltica de segurana de informaes, pois diferentes tipos de informaes devem ser protegidos de diferentes maneiras. Segundo Dias (2000, p.52-53), A classificao mais comum de informaes aquela que as divides em quatro nveis:- Pblicas ou de uso irrestrito - as informaes e os sistemas assim classificados podem ser divulgados a qualquer pessoa sem que haja implicaes para a instituio. Exemplos: servios de informao ao pblico em geral, informaes divulgadas imprensa ou pela Internet. - Internas ou de uso interno - as informaes e os sistemas assim classificados no devem sair do mbito da instituio. Porm, se isso ocorrer, as conseqncias no sero crticas. Exemplos: servios de informao interna ou documentos de trabalho corriqueiros que s interessam aos funcionrios. - Confidenciais - informaes e sistemas tratados como confidenciais dentro da instituio e protegidos contra acesso externo. O acesso a esses sistemas e informaes feito de acordo com sua estrita necessidade, isto , os usurios s podem acess-los se estes forem fundamentais para o desempenho satisfatrio de suas funes na instituio. O acesso no autorizado a esses dados e sistemas pode comprometer o funcionamento da instituio, causar danos financeiros ou perda de fatias de mercado para o concorrente. Exemplos: dados pessoais de clientes e funcionrios, senhas, informaes sobre as vulnerabilidades de segurana dos sistemas institucionais, contratos, balanos, etc. - Secretas - o acesso interno ou externo de pessoas no autorizadas a esse tipo de informaes extremamente crtico para a instituio. imprescindvel que o nmero de pessoas autorizadas seja muito restrito e o controle sobre o uso dessas informaes seja total. Exemplos: dados militares e de segurana nacional (DIAS, 2000, p. 52-53).
4.4.4.2 Classificao dos sistemas
As divises poderiam ser, por exemplo, aplicativos, servios, sistema operacional e hardware. Cada uma das camadas dever ser analisada individualmente, configuradas e monitoradas de forma a atender os requisitos de segurana estabelecida. Segundo Dias (2000, p. 53), Com relao a sistemas, a melhor estratgia de implementao de segurana utilizar controle em vrios nveis diferentes.
4.4.5 Ativos
47 Um ativo todo elemento que compe o processo da comunicao, partindo da informao, seu emissor, o meio pelo qual ela transmitida, at chegar a seu receptor. De acordo com Associao... (2005, p. 3), Qualquer coisa que tenha valor para a organizao. De acordo com Albuquerque; Ribeiro (2002, p. 4), Algo de valor resguardado pelo sistema. Os ativos so elementos que a segurana da informao busca proteger. Os ativos possuem valor para as empresas e, como conseqncias, precisam receber uma proteo adequada para que seus negcios no sejam prejudicados. As informaes, os equipamentos que oferecem suporte a elas e as pessoas que as utilizam so os elementos que compem o que chamamos de ativo. Informaes elementos que contem informaes registradas em meio eletrnico ou fsico como, por exemplo: documentos, relatrios, livros, manuais, correspondncias, informaes de mercado, cdigo de programao, linhas de comando, arquivos de configurao, planilhas de remunerao de funcionrios, plano de negcios da empresa, etc.. Equipamentos que oferecem suporte s informaes: software grupo de ativos composto por todos os programas de computador, utilizado para a automatizao de processos; hardware esses ativos representam toda a infra-estrutura tecnolgica que oferece suporte informao durante seu uso, trnsito e armazenamento; organizao neste grupo esto includos os aspectos que compem a estrutura fsica e organizacional das empresas; usurios O grupo de usurios refere-se aos indivduos que utilizam a estrutura tecnolgica e de comunicao da empresa e que lidam com a informao.
4.4.6 Riscos
O risco a probabilidade de que as ameaas explorem os pontos fracos, causando perdas ou danos aos ativos e impactos no negcio afetando a confidencialidade, a integridade e a disponibilidade da informao. De acordo com Associao... (2005, p. 2), Combinao da probabilidade de um evento e de suas conseqncias.
48 Segundo Dias (2000 p. 54), [...] Risco uma combinao de componentes, tais como ameaas, vulnerabilidades e impactos. A segurana uma prtica orientada para a eliminao das vulnerabilidades a fim de evitar ou reduzir a possibilidade de que as ameaas potenciais se concretizem no ambiente que se deseja proteger. Segundo Dias, (2000, p. 54), [...] Os riscos podem ser apenas reduzidos, j que impossvel eliminar todos os riscos. Tomando medidas de segurana mais rgidas, os riscos podem ser cada vez menores, mas nunca sero totalmente anulados.
4.4.7 Ameaas As ameaas so agentes capazes de explorar as falhas de segurana, que denominamos pontos fracos e como conseqncia, provocar perdas ou danos aos ativos de uma empresa, afetando os seus negcios. De acordo com Associao... (2005, p. 3), Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao. De acordo com Albuquerque; Ribeiro (2002, p. 4), Um ataque potencial, ou seja, um conjunto der trs elementos: o agente (ou atacante), a vulnerabilidade e o ativo com o valor, que permitem um ataque.Ameaa tudo aquilo que pode comprometer a segurana de um sistema, podendo ser acidental (falha de hardware, erros de programao, desastres naturais, erros do usurio, bugs de software, uma mensagem secreta enviada a um endereo incorreto, etc.) ou deliberada (roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros). Ameaa pode ser uma pessoa, uma coisa, um evento ou uma idia capaz de causar dano a um recurso, em termos de confidencialidade, integridade, disponibilidade, etc.. Os ativos esto constantemente sob ameaas que podem colocar em risco a integridade, a confidencialidade e a disponibilidade das informaes. Essas ameaas sempre existiro e esto relacionadas a causas que representam riscos, as quais podem ser: - causas naturais ou no-naturais; - causas internas ou externas Dessa forma, entendemos que um dos objetivos da segurana da informao impedir que as ameaas explorem os pontos fracos e afetem um dos princpios bsicos da segurana da informao (integridade, disponibilidade, confidencialidade), provocando danos ao negcio das empresas (MDULO; MICROSOFT, 2005, CD-ROM).
4.4.8 Ataques
49 De acordo com Associao... (2005, p. 3), Um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. De acordo com Albuquerque; Ribeiro (2002, p. 4), um tipo de problema de segurana caracterizado pela existncia de um agente que busca obter algum tipo de retorno, atingindo um ativo de valor. Os ataques podem ser subentendidos de duas formas: ataques passivos so os ataques que no interferem no contedo do recurso do contedo que foi atacado como, por exemplo, anlise de trfego de rede; ataques ativos so os ataques que prejudicam diretamente o contedo do recurso atacado, modificando e eliminando informaes ou gerando informaes falsas como, por exemplo, a interceptao de uma mensagem trafegando na rede.
4.4.9 Manuteno da Poltica Segundo Ferreira; Arajo (2006, p. 125), necessrio especificar procedimentos ou uma metodologia formal para uma manuteno peridica e aprovao das polticas de forma a mant-los atualizados frente a novas tendncias, tecnologias e acontecimentos. O intervalo mdio utilizado para a reviso da poltica de seis meses ou um ano, porm deve ser realizada uma reviso sempre que forem identificados fatos novos, no previstos na verso atual que possam ter impacto na segurana das informaes da organizao. O processo de reviso deve abranger: - Eventuais riscos identificados; - alteraes na legislao do negcio; - incidentes de segurana; - vulnerabilidades encontradas; - alteraes na estrutura organizacional e - mercado.
50 4.4.9.1 Diretrizes para implementaoConvm que os procedimentos de controle de mudanas sejam documentados e reforados com a finalidade de minimizar a corrupo dos sistemas da informao. Convm que a introduo de novos sistemas e mudanas maiores em sistemas existentes siga um processo formal de documentao; especificao, teste, controle da qualidade e gesto da implementao. Convm que o processo inclua uma anlise/avaliao de riscos, anlise do impacto das mudanas e a especificao dos controles de segurana requeridos. Convm que o processo garanta que a segurana e os procedimentos de controle atuais no sejam comprometidos, que os programadores de suporte tenham acesso somente s partes do sistema necessrias para o cumprimento das tarefas e que sejam obtidas concordncia e aprovao formal para qualquer mudana obtida. Convm que, quando praticvel, os procedimentos de controle de mudanas sejam integrad
![IMP - MML IMP - MML IMP - MMLIMP - MML IMP - MML IMP - … · cv zrp zrp [co-1] rdm [smp-7] [com-3] av. los pinos zrp zrp rdm zhr av. san pedro de carabayllo av. universitaria av](https://img.document.onl/doc/110x75/5fcbcf63571dc3164f14325c/imp-mml-imp-mml-imp-mmlimp-mml-imp-mml-imp-cv-zrp-zrp-co-1-rdm-smp-7.jpg)
![TankVesselHandbook[1] _ Imp](https://img.document.onl/doc/110x75/577cb2a01a28aba7118c1ca8/tankvesselhandbook1-imp.jpg)
