Segurança da informação em ambientes corporativos: analise de segurança da informação do...
53
Diego Villendel Rodrigues Rocha SEGURANÇA DA INFORMAÇÃO EM AMBIENTES CORPORATIVOS: ANÁLISE DE SEGURANÇA DA INFORMAÇÃO DO DISTRITO DO GORUTUBA E VERIFICAÇÃO DA SUA ADEQUAÇÃO À NBR ISO/IEC 27002:2005 Monografia apresentada ao Curso de Engenharia da Computação da Faculdade de Ciência e Tecnologia de Montes Claros, como parte dos requisitos para obtenção do diploma de Engenheiro da Computação. Orientador: PROF. RODRIGO CAETANO FILGUEIRA Montes Claros 2012
Segurança da informação em ambientes corporativos: analise de segurança da informação do Distrito do Goturuba e verificação da adequação a NBR ISO/IEC 27002:2005
1. 1 Diego Villendel Rodrigues RochaSEGURANA DA INFORMAO EM
AMBIENTES CORPORATIVOS: ANLISE DE SEGURANA DA INFORMAO DO DISTRITO
DO GORUTUBA E VERIFICAO DA SUA ADEQUAO NBR ISO/IEC 27002:2005
Monografia apresentada ao Curso de Engenharia da Computao da
Faculdade de Cincia e Tecnologia de Montes Claros, como parte dos
requisitos para obteno do diploma de Engenheiro da Computao.
Orientador: PROF. RODRIGO CAETANO FILGUEIRA Montes Claros 2012
2. 2 FUNDAO EDUCACIONAL MONTES CLAROS Faculdade de Cincia e
Tecnologia de Montes Claros Diego Villendel Rodrigues RochaSEGURANA
DA INFORMAO EM AMBIENTES CORPORATIVOS: ANLISE DE SEGURANA DA
INFORMAO DO DISTRITO DO GORUTUBA E VERIFICAO DA SUA ADEQUAO NBR
ISO/IEC 27002:2005 Esta monografia foi julgada adequada como parte
dos requisitos para a obteno do diploma de Engenheiro da Computao
aprovada pela banca examinadora da Faculdade de Cincia e Tecnologia
de Montes Claros. ______________________________________ Prof.
Maurlio Jos Incio Coord. do Curso de Engenharia da ComputaoBanca
ExaminadoraProf. Rodrigo Caetano Filgueira, FACIT/(Orientador)
_______________________________________Prof. Ms. Leonardo Santos
Amaral _______________________________________ Montes Claros, 26 de
novembro de 2012
3. 3Dedico este trabalho as pessoas que viram nosmeus olhos no
apenas um sonho, mas sim obrilho de quem sonha em ser um
vencedor.
4. 4 AGRADECIMENTOSAgradeo primeiramente a Deus por me dar a
oportunidade de chegar a um momento toimportante em minha vida e
aos meus pais pelo devido apoio e compreenso da minhaausncia,
justificada pela execuo deste importante trabalho. Agradeo aos meus
amigos pelafora e apoio dado nos momentos difceis e aos professores
por contriburem diretamente naminha formao e na construo de meus
sonhos.
5. 5"Computadores e redes podem mudar nossasvidas para melhor
ou para pior. O mundo virtualtem as mesmas caractersticas do mundo
real, eh tempos, os eventos de segurana, ataques einvases a
computadores deixaram de seratividades solitrias e no
destrutivas."Adriano Mauro Cansian Professor Titular daUnesp.
6. 6 RESUMOEsta pesquisa visa abordar os principais mtodos,
equipamentos, tecnologias e procedimentosnecessrios para garantir
segurana da informao em ambientes corporativos com acesso
ainternet.Como fundamentos para a pesquisa, foram revisados os
principais conceitos de segurana dainformao, bem como a sua
necessidade do mundo atual, conceitos de redes decomputadores,
segurana de rede e a norma NBR ISO/IEC 27002 que sugere
implementaespara serem aplicados em ambientes corporativos visando
obter melhores resultados emsegurana da informao e tratar seus
incidentes.Para ilustrar o estudo, foi feita uma anlise em um
ambiente empresarial real, identificando osequipamentos da rede de
computadores e levantando os principais meios utilizados naempresa
para garantir a segurana no trfego das informaes objetivando
verificar aconformidade desses mtodos com as normas tcnicas. Para
servir de parmetros para aanlise de segurana, foi feita a aplicao
de um formulrio no ambiente pesquisado com oobjetivo de se ter uma
avaliao das implementaes de segurana da informao do
ambientepesquisado em relao a NBR ISO/IEC 27002.Palavras-Chave:
Segurana de rede, segurana da informao, NBR ISO/IEC 27002.
7. 7 ABSTRACTThis research aims to approach the main methods,
equipment, technologies and procedures toensure the security of
information in corporative environments with internet access.As
fundamentals for the search, main concepts of information security
were revised, as wellas its necessity in the world nowadays,
concepts of computer networks, network security andNBR ISO/IEC
27002 rule that suggests that implementations to be applied in
environmentscorporative to obtain better results in information
security and treat their incidents.In order to illustrate the
study, an analysis in a real business environment was
done,identifying the equipment of the computer network and raising
the main means used in thecompany to ensure the safety of traffic
information in order to verify the compliance of thesemethods with
technical standards. To serve as parameters for the safety
analysis, theapplication was made in the form of a searchable
environment in order to get an assessment ofimplementations of
information security environment studied in relation to ISO/IEC
27002.Keywords: Network security, information security, NBR ISO/IEC
27002.
8. 8 LISTA DE ILUSTRAESFIGURA 1 - Topologia de rede ponto a
ponto
.........................................................................
14FIGURA 2 - Topologia de rede barramento
.............................................................................
15FIGURA 3 - Topologia de rede anel
........................................................................................
15FIGURA 4 - Topologia de rede estrela
....................................................................................
16QUADRO 1 - Modelo OSI na forma de pilha
..........................................................................
16FIGURA 5 - TCP/IP e sua correspondncia com o modelo OSI
............................................. 19GRFICO 1 - Relatrio
de evoluo do nmero de incidentes de segurana da informaoregistrados
no Brasil
.................................................................................................................
21GRFICO 2 - Pases de pases que originam ataques aos sistemas
brasileiros ....................... 22FIGURA 6 - Exemplo de
implementao do firewall
..............................................................
23FIGURA 7 - Exemplo de implementao do DMZ
.................................................................
24FIGURA 8 - Arquitetura da rede de computadores do DTGA
................................................ 34FIGURA 9 -
Servidor de arquivos local do DTGA e nobreak
................................................. 34FIGURA 10 -
Equipamentos de rede (modem, roteador, switch e patch panel
....................... 35GRFICO 3 - Resultados obtidos por seo da
norma ............................................................
39GRFICO 4 - Resultado geral da anlise do formulrio
......................................................... 40
9. 9 LISTA DE SIGLASABNT Associao Brasileira de Normas
TcnicasACL - Access Control ListsAES - Advanced Encryption
StandardAH - Authentication HeaderARP - Addres Resolution
ProtocolCERT - Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurana no BrasilCOPASA Companhia de Saneamento de
Minas GeraisDES - Data EncryptionDMZ DeMilitarized Zone NetworkDNS
- Domain Name SystemDTGA Distrito do GorutubaESP - Encapsulating
Security PayloadFTP File Transfer ProtocolHIDS - IDS baseado em
HostHTTP - Hypertext Transfer ProtocolICMP - Internet Control
Message ProtocolIDS Intrusion Detection SystemsIEC - International
Electrotechnical CommissionIP Internet ProtocolIPsec IP SecurityISO
- Institute of Standardization OrganizationNBR Norma Brasileira
RegulamentatriaNIDS - IDS baseado em redeNP Norma de
ProcedimentosOSI - Open Systems InterconnectionRARP Reverse Addres
Resolution ProtocolSMTP - Simple Mail Transfer ProtocolSPI -
Security Parameters IndexTCP - Transmission Control ProtocolUDP
User Datagram ProtocolVPN Virtual Private Network
10. 10 SUMRIOINTRODUO
......................................................................................................................
12CAPTULO 1 REDES DE COMPUTADORES E SEGURANA DE REDE
................. 141.1 Redes de Computadores
.....................................................................................................
141.2 Modelo OSI
........................................................................................................................
161.3 TCP/IP
................................................................................................................................
181.4 Internet
...............................................................................................................................
191.5 Necessidade de segurana de redes
....................................................................................
191.6 Segurana de rede
...............................................................................................................
221.6.1 Firewall
...........................................................................................................................
231.6.1.1 DMZ
.............................................................................................................................
241.6.2
Criptografia......................................................................................................................
241.6.3 IPSec
................................................................................................................................
251.6.4 VPN
.................................................................................................................................
251.6.5 Sistema de deteco de intruso
......................................................................................
261.6.6 Autenticao e controle de acesso
...................................................................................
261.6.7 Elementos essenciais de segurana da
informao..........................................................
271.7 NBR/IEC ISO 27002:2005
.................................................................................................
271.7.1 Poltica de segurana da informao
...............................................................................
281.7.2 Organizando a segurana da informao
.........................................................................
281.7.3 Gesto de ativos
...............................................................................................................
291.7.4 Segurana em recursos humanos
.....................................................................................
291.7.5 Segurana fsica e do ambiente
.......................................................................................
291.7.6 Gerenciamento das operaes e
comunicao.................................................................
301.7.7 Controle de acessos
.........................................................................................................
301.7.8 Aquisio, desenvolvimento e manuteno de sistemas de informao
......................... 301.7.9 Gesto de incidentes de segurana
da informao
.......................................................... 311.7.10
Gesto da continuidade do negcio
...............................................................................
311.7.11 Conformidade
................................................................................................................
31CAPTULO 2 MATERIAIS E MTODOS
.........................................................................
33
11. 112.1 Descries do ambiente de pesquisa
..................................................................................
332.2 Metodologias da
pesquisa...................................................................................................
362.3 Aplicao de formulrio para levantamento de informaes
............................................. 362.4 Anlise dos
elementos essenciais de segurana da informao
......................................... 37CAPTULO 3 RESULTADOS
..............................................................................................
39CAPTULO 4 ANLISE E DISCURSO DOS RESULTADOS
...................................... 41CONSIDERAES FINAIS
.................................................................................................
45REFERNCIAS
.....................................................................................................................
47APNDICE A FORMULRIO DE VERIFICAO DE ADEQUAO A NBRISO/IEC
27002:2005
...............................................................................................................
49
12. 12 INTRODUOA necessidade de informatizar os processos de
negcio, bem como o investimento emsegurana da informao algo
extremamente importante e comum em qualquer empresa quevisa a
competitividade no mundo contemporneo. A segurana da informao tem o
objetivode garantir a sobrevivncia de negcios em empresas que
possuem os processosinformatizados totalmente envolvidos com o
desenvolvimento das atividades. Visa garantir aconfiabilidade e
continuidade dos negcios, melhora a imagem da empresa perante
omercado, evita perdas e transtornos e com isso facilita o exerccio
das atividades fins daempresa. Existem normas que regulamentam as
boas prticas de segurana da informao,dentre elas a NBR ISO/IEC
27002:2005 que ser objeto de nosso estudo e fundamental paraobteno
dos resultados dessa pesquisa.Essa pesquisa tem o objetivo de
apontar os principais itens, conceitos e tecnologias dasegurana da
informao, efetuar o estudo da norma que regulamenta as prticas de
seguranada informao em um ambiente empresarial e aplicar essa norma
em um ambiente corporativoreal. As hipteses principais desta
pesquisa que a NBR ISO/IEC 27002 eficaz e que oambiente empresarial
estudado seguro no tratamento de informaes, nas quais essashipteses
sero verificadas nas discusses dos resultados. Com a aplicao desta
pesquisa,poderemos concluir se segurana da informao em sistemas de
informao das empresas realmente necessrio, se o ambiente estudado
seguro, se as prticas sugeridas pela normaso aplicveis e eficazes.O
Captulo 1 mostra, de acordo com a literatura dos principais autores
de obras sobre redes decomputadores e segurana de redes, onde so
destacados os principais conceitos de redes decomputadores, os
principais protocolos de comunicao, necessidade de segurana
dainformao, principais conceitos de segurana de redes, seus
equipamentos e tecnologias. feita tambm uma pequena reviso sobre a
NBR ISO/IEC 27002:2005, destacando de formageral as sees em que so
organizadas essa norma e suas principais abordagens erecomendaes.O
Captulo 2 tem o objetivo de apresentar o ambiente pesquisado e os
materiais e mtodosutilizados para desenvolver a pesquisa. feita a
apresentao da estrutura de redes decomputadores de uma unidade
administrativa da Copasa, denominada DTGA, relatadas asprincipais
prticas de segurana da informao identificadas e feita uma anlise
dos elementosessenciais da segurana da informao. Neste captulo
tambm explicado a estrutura e
13. 13objetivos do formulrio aplicado nesta pesquisa para
verificao da adequao das prticas doambiente pesquisado em relao a
norma apresentada.No Captulo 3 so apresentados os grficos com os
resultados obtidos com a aplicao doformulrio acima citado e no
Captulo 4 so analisados e discutidos esses resultados
obtidos,identificando os principais pontos positivos e negativos
que influenciaram na obteno dosresultados.Nas consideraes finais
apresentada uma concluso geral da pesquisa e dos resultados,
sosugeridas adaptaes que podem ser aplicadas pela empresa para
melhorar a segurana dainformao e adequao a norma regulamentadora e
so expostos alguns tpicos para futuraspesquisas.No apndice
apresentado o formulrio aplicado para levantamento de informaes
paraobteno e discusso dos resultados.
14. 14CAPTULO 1 REDES DE COMPUTADORES E SEGURANA DE REDES1.1
Redes de ComputadoresReferem-se a redes de computadores quando dois
ou mais computadores esto interligadossob algum meio e regida sob
um conjunto de protocolos, com o intuito de transferir
oucompartilhar dados, informaes ou recursos, encurtar distncias,
unir departamentos, entreoutros. Tambm podemos definir rede de
computadores como "um conjunto de computadoresautnomos
interconectados por uma nica tecnologia" (TANENBAUM, 2003, p.
15).Segundo Valle e Ulbrich (2009), as redes de computadores
evoluram das redes telefnicas,que foi uma evoluo dos telgrafos.As
redes de computadores so compostas de vrios componentes fsicos
(estrutura fsica),organizados sob algum tipo de organizao
(topologia) e regidos sob algumas normas(protocolos). A estrutura
fsica inclui os equipamentos de hardware que compem a rede,como:
hubs, switches, roteadores, placas de rede, cabeamento, antenas,
servidores, clientes,etc. As principais topologias so : ponto a
ponto, barramento, anel e estrela. FIGURA 1 - Topologia de rede
ponto a ponto Fonte: Autoria prpriaNa topologia ponto a ponto,
tambm conhecida como linear, os computadores so ligados emsrie e os
dados transmitidos passam por todos os computadores, mas somente
sointerceptados pela mquina receptora.
15. 15FIGURA 2 - Topologia de rede barramentoFonte: Autoria
prpriaNa topologia de redes em barramento, os computadores
compartilham um mesmo barramentofsico, geralmente esse barramento
um cabo coaxial. Uma caracterstica dessa topologia que apenas uma
mquina pode escrever no barramento por vez, os dados chegam a todas
asmquinas, porm apenas a mquina destinatria pode captar os dados.
FIGURA 3 - Topologia de rede anel Fonte: Autoria prpriaNa topologia
em anel, os computadores so ligados em um circuito fechado, como um
circulo.Segundo Valle e Ulbrich (2009), um exemplo dessa topologia
a conhecida como TokenRing.
16. 16 FIGURA 4 - Topologia de rede estrela Fonte: Autoria
prpriaNa topologia em forma de estrela, os computadores so
interligados por um equipamentocentralizador, como um hub ou
switch, em que todos os dados tm que obrigatoriamentepassar por
esse dispositivo.1.2 Modelo OSIO Open Systems Interconnection (OSI)
um modelo de conjunto de protocolos decomunicao organizada em uma
pilha de 7 camadas: fsica, enlace, rede, transporte,
sesso,apresentao e aplicao. Como mostrada no Quad. 1 abaixo. QUADRO
1 Modelo OSI na forma de pilha Fonte: Autoria prpria
17. 17Cada camada composta por um conjunto de protocolos
responsvel por oferecer umconjunto de servios especficos. "Os
protocolos so agrupados em famlias organizadas emcamadas que, por
sua vez, formam uma pilha" (ALBUQUERQUE, 2001, p. 10). A pilha
podeser observada no Quad.1, onde as camadas so organizadas uma
sobre a outra seguindo umacerta ordem.A camada de Aplicao tem a
funo de fazer "a interface entre o protocolo de comunicao eo
aplicativo que pediu ou receber a informao atravs da rede" (TORRES,
2001, p. 43).Essa camada a que est mais prxima ao usurio.A camada
de Apresentao traduz os dados recebidos pela aplicao a um formato
comum aser usado na transferncia. Essa camada "est relacionada a
sintaxe e a semntica dasinformaes transmitidas" (TANENBAUM, 2003,
p. 45), ou seja, est diretamenterelacionada com a forma com que os
dados sero apresentados. "Pode ter outros usos, comocompresso de
dados e criptografia" (TORRES, 2001, p. 44).A camada de Sesso
responsvel por estabelecer uma comunicao entre doiscomputadores,
define como ser feita a transmisso e insere marcadores nos dados
para quecaso haja alguma falha na transmisso, esta pode ser
retomada a partir dos dados marcados.Complementando, segundo
Tanenbaum (2003), essa camada oferece diversos servios
como:controle de dilogo (define quem ir transmitir), gerenciamento
de smbolos (impede aexecuo de uma operao crtica simultaneamente por
duas aplicaes diferentes) esincronizao (marcao dos dados).A camada
de Transporte responsvel por receber os dados da camada de Sesso,
fragment-los, se necessrio, e repass-los a camada inferior (Rede).
No receptor responsvel porremontar esses fragmentos e entreg-los a
camada de sesso. Tambm "oferece recuperaode erro e controle de
fluxo de ponta a ponta" (STALLINGS, 2002, p. 97).A camada de Rede
responsvel por enderear os pacotes recebidos da camada
deTransporte, converter endereo lgico em endereo fsico e definir o
caminho pelo qual opacote ir seguir, evitando congestionamento e
buscando otimizar a rota (roteamento), j queas redes possuem sempre
mais de um caminho.A camada de Enlace, tambm conhecida como Link de
Dados, recebe os pacotes de dados dacamada de Rede e os transforma
em quadros, adicionando alguns dados em seu cabealho,como endereo
fsico da placa de rede de origem e destino. responsvel por
controlar otrfego na transferncia, caso a velocidade do transmissor
e receptor apresentemincompatibilidade. Na recepo, segundo Torres
(2001), confere se o dado chegou ntegro,
18. 18enviando uma confirmao de recebimento, que caso no seja
recebido, faz com que otransmissor re-envie o quadro.A camada Fsica
a camada mais inferior da estrutura do modelo OSI. Segundo
Torres(2001), essa camada recebe os dados da camada de enlace e os
transforma em sinaiscompatveis com o meio em que sero transmitidos.
Complementando, "lida comcaractersticas mecnicas, eltricas,
funcionais e de procedimento para acessar o meio fsico"(STALLINGS,
2002, p.97), ou seja, define como os dados sero transmitidos
conforme omeio, tendo, como exemplo a converso para sinais eltricos
se o meio for eltrico, sinaisluminosos se o meio for ptico ou
sinais de ondas de rdio se o meio for atmosfrico.1.3 TCP/IPTCP/IP
um protocolo, ou seja, um conjunto de protocolos de redes, no qual
dois dosprincipais derivaram o seu nome. Segundo Torres (2001), o
protocolo mais utilizado emredes locais, foi feito para ser
utilizado na internet, atualmente suportado em todos ossistemas
operacionais e rotevel, ou seja, feito para ser utilizado em redes
grandes e delonga distncia podendo ter vrios caminhos para o dado
chegar ao destino.O protocolo TCP/IP dividido em 4 camadas:
aplicao, transporte, internet e interface com arede (inter-redes).A
camada de Aplicao, segundo Valle e Ulbrich (2009), responsvel pela
comunicaoentre o protocolo de transporte e os aplicativos que
solicitam os recursos da rede, como DNS,FTP, HTTP, SMTP, entre
outros. Corresponde as camadas de aplicao, apresentao esesso do
modelo OSI.A camada de Transporte do modelo TCP/IP equivale camada
de mesmo nome do modeloOSI. Segundo Torres (2001), essa camada
transforma em pacotes os dados recebidos dacamada de Aplicao e
passa-os a camada de Internet, utiliza o esquema de multiplexao,que
possibilita a transmisso de dados de vrias aplicaes simultaneamente
e utiliza oconceito de portas. Nessa camada operam os protocolos
Transmission Control Protocol(TCP) e User Datagram Protocol (UDP),
sendo o TCP orientado a conexo, ou seja, verificase o dado
realmente chegou ao destino, e o UDP, que no tem essa caracterstica
do TCP, ecom isso garante maior velocidade na entrega do pacote,
mas sem garantia de entrega.A camada de Internet, como no modelo
OSI, " responsvel pela organizao e roteamentodos pacotes definindo
seus endereos" (VALLE; ULBRICH, 2009, p. 55). Atuam nessa
19. 19camada os protocolos Internet Protocol (IP), Internet
Control Message Protocol (ICMP),Addres Resolution Protocol (ARP) e
Reverse Addres Resolution Protocol (RARP).A camada de Interface com
a Rede equivale com as camadas de Enlace e Fsica do modeloOSI e
responsvel por enviar os dados recebidos pela camada de Internet
pela rede. FIGURA 5 - Modelo TCP/IP e sua correspondncia com o
modelo OSI Fonte: Autoria prpria1.4 InternetA internet, ou rede
mundial de computadores, segundo Valle e Ulbrich (2009), o
conjuntode redes espalhadas pelo mundo baseadas no protocolo
TCP/IP, formada por redes de altacapacidade, conectadas a
computadores altamente poderosos conhecidos como backbones.
Oparadigma da internet baseada na comutao por pacotes e cada
computador ligado ainternet possui um nico endereo lgico nico (IP)
que identifica no s a mquinapropriamente dita, como tambm a rede a
qual pertence.Com a internet possvel estabelecer a comunicao entre
computadores localizados emqualquer lugar do planeta, que tambm
esteja conectado a internet, acessar sites, transferirarquivos,
trocar emails, entre diversas outras funcionalidades.1.5
Necessidade de segurana de redesA aplicao da segurana em redes de
comunicao de computadores passou a ser necessriaquando, com a
evoluo da tecnologia de processamento de dados, as corporaes
passaram autilizar os meios computacionais para solucionar
problemas das empresas e armazenar suas
20. 20informaes. A segurana de dados e informaes antigamente
era exclusivamente fsica,Stallings (2002) cita como exemplo de
segurana de dados o uso dos grandes armriostrancados com fechaduras
de segredo para guardar documentos importantes.Atualmente, o uso
dos recursos computacionais e dos meios de telecomunicaes deextrema
importncia para o desenvolvimento e organizao de qualquer
instituio. Empresasque no se adequam ou acompanham os avanos das
tecnologias digitais apresentam cada vezmais dificuldade de se
manterem vivas em um mercado que est cada vez mais exigente
ecompetitivo.Computao, hoje, est presente em praticamente todos os
ambientes que o ser humano podeconviver, seja utilizando internet
em casa para acessar algum site de relacionamento ouefetuar o
pagamento de contas, gerenciando e compartilhando informaes em um
ambienteempresarial ou acessando internet via celular atravs de uma
rede de comunicao pblica.Os avanos das redes de computadores e
internet facilitaram a troca e compartilhamento deinformaes entre
pessoas localizadas em qualquer extremidade do mundo, fazendo com
queo acesso a redes privadas e locais por pessoas indevidas, se
tornasse cada vez mais viveis.Paralelamente ao crescimento do uso
dos recursos computacionais, cresceu-se tambm onmero de ataques a
esses ambientes, visando roubo de dados confidenciais,
paraprejudicarem alguma instituio ou pessoa ou at mesmo somente
para que o invasor mostresua capacidade de invadir uma rede e
provocar algum tipo de dano. A tecnologia no sfacilitou a vida da
sociedade, como tambm abriu oportunidade de indivduos maliciosos
seaproveitarem desses meios para praticarem atos ilcitos. Segundo
Melo (2009), com usocrescente de recursos na internet, a ampliao da
infra-estrutura e softwares de naturezailcita, de fcil acesso e
utilizao, tem como consequncia o significativo aumento deinvases de
computadores e roubo de informaes.
21. 21 GRFICO 1 - Relatrio de evoluo do nmero de incidentes de
segurana da informao registrados no Brasil Fonte: www.cert.brO
Graf. 1 acima mostra a evoluo do nmero de ataques registrados do
ano de 1999 atjunho de 2012 no Centro de Estudos, Resposta e
Tratamento de Incidentes de Segurana noBrasil (Cert.br), que grupo
de resposta a incidentes de segurana para a internet brasileira.
Onmero de ataques registrados em 2011 quase 130 vezes maior do que
o registrado no inicioda contagem em 1999.
22. 22 GRFICO 2 - Pases que originam ataques aos sistemas
brasileiros Fonte: www.cert.brO Graf. 2 ilustra de que pas surge os
principais ataques aos sistemas brasileiros, sendodestacada a maior
parte originada do prprio Brasil.Como a sociedade atual passou a
ser totalmente dependente dos computadores e analisando aimportncia
que esse recurso se tornou para o desenvolvimento econmico e
social, viu-se anecessidade de investir em meios, tcnicas,
equipamentos e estruturas visando segurana noarmazenamento e
transferncia de informaes, visando evitar a perda, extravio ou
usoindevido dessas informaes.1.6 Segurana de redeSegurana de rede a
expresso utilizada quando se refere as implementaes,
equipamentos,tcnicas, mtodos visando garantir a integridade,
disponibilidade, autenticidade econfidencialidade dos dados
trafegados pela rede, bem como garantir o pleno funcionamentoda
estrutura de redes. Segundo Tanenbaum (2009), a segurana de redes
pode ser dividida emsigilo (manter as informaes longe de usurios no
autorizados), autenticao (determinar osagentes da comunicao), no
repdio (provar a autenticidade da comunicao) e controle
deintegridade (provar a legitimidade da comunicao).As implementaes
de segurana podem ser distribudas, segundo Tanenbaum (2003),
emdiversas camadas do encapsulamento da comunicao. Na camada de
enlace pode ser aplicada
23. 23a criptografia de enlace, codificando mensagens ao sair
de uma mquina e decodificando aoentrar em outra. Na camada de rede
podem ser instalados firewalls para monitorar e filtrar osdados que
circulam pela rede. Na camada de transporte pode-se criptografar
conexesinteiras. E na camada de aplicao podem ser feitas as
autenticaes de usurios.1.6.1 FirewallEm geral firewall, segundo
Pfaffenberger (1998), pode ou no ser uma mquina, ou talvez
umsoftware, com o objetivo de conter o trfego ou acesso indevido
atravs da anlise docabealho dos pacotes que trafegam na rede,
filtrando esses pacotes que infringem as regrasestabelecidas em uma
poltica de segurana. FIGURA 6 - Exemplo de implementao do firewall
Fonte: Autoria prpriaOs firewalls basicamente se dividem em duas
categorias: firewall de rede ou firewall degateway de aplicativo
(proxy). Os firewalls de rede, geralmente, so roteadores
comcapacidade de filtrar pacotes podendo negar acesso analisando
diversos fatores comoendereo (origem e destino), protocolo, nmero
de porta (origem ou destino) ou contedo. Ogateway de aplicao,
segundo Tanenbaum, no examina pacotes brutos, atua tambm nacamada
de aplicao, verificando dados do cabealho referentes a aplicao e
tamanho damensagem.Existem diversas implementaes de firewall,
podendo ser utilizados at mais de um firewalldependendo da
finalidade, arquitetura da rede e do nvel de segurana exigido.
Pode-sedestacar o uso de firewalls na entrada da rede local,
isolando servidores, isolando osservidores da rede interna,
filtrando dados entre sub-redes, DMZ, dentre outras.
24. 241.6.1.1 DMZDeMilitarized Zone Network (DMZ) ou
simplesmente Rede Desmilitarizada, umaconfigurao em que so
utilizados dois firewalls, um na sada para a rede externa e outro
naentrada da rede interna conforme a figura abaixo.FIGURA 7 -
Exemplo de implementao do DMZFonte: Autoria prpriaNessa figura o
Firewall 1 tem a funo de filtrar o acesso aos servidores
localizados na DMZ,enquanto o Firewall 2 tem a funo de filtrar o
fluxo de dados que entra e sai da rede interna.1.6.2
CriptografiaCriptografar uma tcnica que cifra os dados antes de
serem enviados, e esses dados sodecifrados no recebimento,
"consiste em traduzir os dados para um formato nocompreensvel"
(ALBUQUERQUE, 2001, p. 219). composto de algoritmos querepresentam
a funo de chaves, trancando e abrindo o cdigo
criptografado.Albuquerque (2001) categoriza os algoritmos de
criptografia como: chave privada(simtricos), chave pblica e chave
de sesso.Nos algoritmos de chave privada so utilizados uma mesma
chave para cifrar e decifrar.Exemplos desse algoritmo so o Data
Encryption (DES), o Advanced Encryption Standard(AES) e o
Triple-DES. A segurana desse algoritmo est restrito a segurana da
chaves, sendoque se a chave for descoberta os dados podero ser
acessados.
25. 25Os algoritmos de chave pblica possuem uma chave para
cifrar e outra para decifrar, sendo aprimeira de conhecimento
pblico e a ltima de conhecimento privado. Exemplos dessealgoritmo
so o Diffie-Hellman e RSA. Esses algoritmos possuem a desvantagem
deconsumir muito poder computacional.Os algoritmos baseados em
chaves de sesso utilizam tanto algoritmos de chaves pblicasquanto
de chaves privadas, consomem bem menos recursos do que estes, porm
mantm amesma capacidade de segurana.1.6.3 IPSecO IPSec ou IP
Security possibilita a conexo segura em redes TCP/IP e obrigatrio
em redesque utilizam o IPv6. Segundo Albuquerque (2001), garante o
sigilo, autenticidade eintegridade dos dados nos pacotes IP.
Stallings (2005) cita que o IPSec oferece trs funesprincipais,
sendo a Authentication Header (AH) responsvel pela autenticao,
aEncapsulating Security Payload (ESP) responsvel pela
autenticao/criptografia e umaterceira funo de troca de chave.O AH
possui informaes, segundo Stallings (2005), de identificao do
prximo cabealho,tamanho da assinatura digital, Security Parameters
Index (SPI) e assinatura digital.O ESP utilizado para manter o
sigilo dos dados, integridade e autenticidade. De acordo
comStallings (2005), o ESP pode trabalhar no modo de transporte ou
tnel, sendo o transporteoferece proteo dos protocolos de camada
superior, e o modo tnel protege (criptografa) opacote IP
inteiro.1.6.4 Virtual Private NetworkUma Virtual Private Network
(VPN) ou Rede Virtual Privada usa os recursos da internet
parainterligar diversas redes de uma organizao. Basicamente, uma
VPN consiste em um conjunto de computadores interconectados por
meios de uma rede relativamente insegura e que utiliza a
criptografia e protocolos especiais para fornecer segurana. Em cada
local corporativo, estaes de trabalho, servidores e bancos de dados
so conectados por uma ou mais redes locais (LANs) (STALLINGS, 2005,
p. 397).
26. 26A VPN permite a comunicao remota entre os departamentos,
utilizando de provedorescomerciais, no sendo necessrios
investimentos em equipamentos de comunicao por parteda empresa. A
comunicao criptografada para garantir a segurana e pode ser
necessrio ouso de firewalls para reforar a segurana e controlar o
acesso s redes.1.6.5 Sistema de deteco de intrusoO sistema de
deteco de intruso, ou Intrusion Detections Systems (IDS), segundo
Nakamurae Geus (2010), extremamente importante em um ambiente
corporativo. Com ele possveldetectar diversos ataques e com isso
tomar as devidas providncias antes que o ataque tomemaiores
consequncias. Esse sistema tem o objetivo de detectar atividades
suspeitas e servede complemento para as atividades no protegidas
pelo firewall.Segundo Nakamura e Geus (2010), os tipos de deteco
realizados pelo IDS dependem dotipo de IDS, metodologia de deteco,
posicionamento dos sensores e localizao do IDS.As principais
caractersticas, de acordo com Moraes (2010), so: execuo
contnua,tolerncia a falhas, mnimo de overhead da rede e dificuldade
de ser atacado.Segundo Nakamura e Geus (2010), os principais tipos
de IDS so: IDS baseado em Host(HIDS), IDS baseado em rede (NIDS) e
o IDS hbrido. O HIDS monitora os arquivos de logs,monitora um
segmento de trfego de rede e o hbrido uma mistura das duas
caractersticas.1.6.6 Autenticao e controle de acessoA autenticao
visa garantir que a pessoa que tenta acessar determinado sistema
autntica. Aautenticao, segundo Nakamura e Geos (2010), pode ser
realizada com base no que o usuriosabe, como senha ou chave
criptogrfica, com base no que o usurio possui, como carto outoken,
ou com base nas caractersticas do usurio, como caractersticas
biomtricas.O Controle de acesso, que se divide em controle de
acesso lgico e externo, garante que osrecursos e informaes sejam
acessados de forma correta e por usurios devidamenteautorizados a
acess-las e responsvel por: proteger contra modificaes no
autorizadas,garantir a integridade e disponibilidade das informaes
e garantir o sigilo das informaes.Os principais mtodos de controle
de acesso lgico so Access Control Lists (ACL), utilizadaem
firewalls, uso de interface com usurios e labels. O principal mtodo
de controle de acessoexterno implementado atravs de firewalls.
27. 271.6.7 Elementos essenciais de segurana da informaoAlguns
elementos so fundamentais para definir o nvel de segurana das
organizaes.Segundo Stallings (2002), a segurana de computador e de
rede trata dos seguintes requisitos:privacidade, integridade,
disponibilidade e autenticidade. Para Pinheiro (2005), para
cumpriresses objetivos so necessrios seguir quatro paradigmas
bsicos: integridade,confidencialidade, disponibilidade e
legalidade.Para verificar o nvel de segurana no ambiente estudado,
vamos conceituar os elementosintegridade, confidencialidade,
disponibilidade e auditoria.Segundo Moraes (2012), integridade
garantir que a informao no seja alterada durante atransmisso ou
armazenamento sem prvia autorizao, ou seja, a informao enviada
seridntica a informao recebida.A confidencialidade, segundo Moraes
(2012), garantir que os recursos e informaes nosejam acessados por
usurios no autorizados.A disponibilidade garante que os recursos
estaro disponveis sempre que necessrio.Auditoria, segundo Moraes
(2012), consiste em manter registros (logs) de aes ocorridas
narede, monitorar o trfego de informaes e registrar para uma futura
auditoria de verificaode irregularidades. Assim, caso seja
necessrio uma inspeo futura, os registros estarodisponveis para a
verificao e identificao das possveis irregularidades que
possamocorrer.1.7 ABNT NBR ISO/IEC 27002:2005De acordo com a ABNT
(2005), a NBR ISO/IEC 27002 uma norma tcnica elaborada pelaAssociao
Brasileira de Normas Tcnicas (ABNT) em 2005, baseada na ISO/IEC
27002 deautoria do Institute of Standardization Organization (ISO)
em substituio a NBR ISO/IEC17799 de 2005. Esta norma apresenta
alguns conceitos de segurana da informao, suanecessidade,
requisitos, anlise de risco, controle e elaborao de diretrizes.Os
principais objetivos da NBR 27002 so estabelecer "diretrizes e
princpios gerais parainiciar, implementar, manter e melhorar a
gesto de segurana da informao em umaorganizao" (ABNT, 2007, p. 1),
servindo como um guia prtico para auxiliar odesenvolvimento de
procedimentos de segurana da informao dentro de qualquerorganizao,
contribuindo para a confiana nas atividades da organizao.
subdividida em
28. 2811 sees de controle de segurana da informao que sero
explicitadas individualmente nosprximos subcaptulos, na ordem em
que so apresentados na norma.1.7.1 Poltica de segurana da informaoA
poltica de segurana um documento formal, elaborado pelos
especialistas em seguranada informao e com o total apoio das
lideranas e define as diretrizes quanto ao uso dasinformaes e
recursos no ambiente coorporativo. Segundo Moraes (2010), algumas
dasdiretrizes so: riscos ao patrimnio, risco de roubo e fraude,
acesso aos sistemas, utilizaodos meios de comunicao, redundncia e
falhas e garantia e integridade. A poltica desegurana estabelece
claramente o que deve ser protegido, atribuir responsabilidades
para ocumprimento das normas e serve como principal referncia para
o gerenciamento dasegurana da informao.A poltica de segurana deve
ser constantemente atualizada e adaptada a cultura daorganizao,
escrita de forma clara e disponvel para todos os
colaboradores.Nakamura e Geus (2007) conceituam que a poltica de
segurana deve ser composta de algunselementos essenciais, dentre
eles: vigilncia, atitude, estratgia e tecnologia, alm de
definirpoltica para senhas, firewall e acesso remoto.1.7.2
Organizando a segurana da informaoEste tpico orienta como gerir a
segurana da informao dentro de uma organizao e,segundo ABNT (2005),
sugere alguns pontos importantes como: a) a instaurao de uma
estrutura de gerenciamento para controlar as implementaes de
segurana da informao; b) o envolvimento da direo da empresa,
aprovando as polticas, atribuindo funes, fornecendo recursos,
coordenando e analisando as implementaes da segurana da informao;
c) a contratao, quando necessrio, de consultoria externa
especializada em segurana da informao para manter atualizada as
estruturas de acordo com as tendncias do mercado e fornecer apoio
na ocorrncia de incidentes de segurana da informao; d) a coordenao
da segurana da informao por representantes de diversas reas da
organizao nos diversos nveis hierrquicos;
29. 29 e) definio de todas as responsabilidades pela segurana
da informao e autorizao para os novos recursos de processamento de
informao; f) identificao de riscos com as partes externas, clientes
e terceiros. No geral este item verifica como esto sendo
organizadas, controladas e coordenadas as prticas de segurana da
informao e se a diretoria est realmente envolvida em todos esses
processos.1.7.3 Gesto de ativosSegundo ABNT (2005), esta seo sugere
que os ativos de informao da empresa recebamproteo adequada,
podendo ser feita classificao, registro e controle desses ativos.
Todosesses ativos devem ser inventariados e possuir um responsvel
por garantir a proteo, guardae manuteno desse bem.1.7.4 Segurana em
recursos humanosO principal objetivo deste tpico "assegurar que os
funcionrios, fornecedores e terceirosentendam suas
responsabilidades e estejam de acordo com os seus papis, e reduzir
o risco defurto ou roubo, fraude ou mau uso dos recursos" (ABNT,
2005, p. 24), ou seja, garantir acincia e responsabilidade de forma
registrada, desde a contratao at a demisso, quefuncionrios e
terceiros tm da importncia do uso correto e seguro dos sistemas
deinformao.1.7.5 Segurana fsica e do ambienteOs conceitos dessa seo
tm o objetivo de prevenir o acesso no autorizado e danos
asinstalaes e informaes da organizao. Segundo a ABNT (2005), as
instalaes onde soprocessadas e armazenadas as informaes devem ser
mantidas em reas seguras comcontrole de acesso apropriado e seguras
de ameaas inerentes do meio ambiente, desastresnaturais e incndios.
Tambm orienta quanto ao envio de equipamentos para manuteno
emambientes externos.
30. 301.7.6 Gerenciamento das operaes e comunicaoSegundo a ABNT
(2005), esta seo visa garantir a operao segura e correta dos
recursos deprocessamento da informao, documentando e definindo os
procedimentos eresponsabilidades pela gesto e operao destes
recursos. Visa manter segurana dainformao e entrega de servios em
casos de servios com terceiros, monitorando eacompanhando
mudanas.Uma parte muito importante abordada nessa seo so orientaes
para minimizar o risco defalhas dos sistemas, implementaes de
controles contra cdigos maliciosos, efetuar cpias deseguranas,
segurana em redes, manuseio e descarte de mdias, orientaes para
troca deinformaes, uso de correio eletrnico, comrcio eletrnico,
monitoramento e auditoria.1.7.7 Controle de acessosEsse tpico visa
orientar na elaborao de polticas, requisitos, gerenciamento,
privilgios,senhas e direitos para controle de acesso dos usurios
aos sistemas de informao, rede,sistemas operacionais, aplicaes e
sistemas remotos, garantindo que os usurios tenham odireito de
acesso aos sistemas, recursos e informaes necessrios a realizao de
suasatividades, bem como garantir que no ocorra acesso indevido as
informaes crticas erestritas por pessoas no autorizadas.1.7.8
Aquisio, desenvolvimento e manuteno de sistemas de informaoEsse
tpico fornece uma viso de como a segurana deve ser implantada em
todos osambientes que envolvem os sistemas de informao. Especificam
os requisitos de segurana,processamento correto nas aplicaes para
prevenir erros, perdas e mau uso, estabelecepolticas para controles
criptogrficos e gerenciamento de chaves, garante a segurana
nosarquivos de sistemas e cdigo fonte de programas, orienta o
gerenciamento de modificaes evazamento de informaes. Enfatiza
quanto superviso e acompanhamento dedesenvolvimento de software por
terceiros garantindo a qualidade e exatido do serviorealizado bem
como a funcionalidade da segurana do cdigo, aplicando testes antes
dainstalao dos sistemas para garantir a ausncia de cdigo
malicioso.
31. 311.7.9 Gesto de incidentes de segurana da informaoEssa seo
trata de como agir em caso de ocorrncia de incidentes de segurana
dainformao, formalizando os meios de notificao de incidentes bem
como gerir essasocorrncias, para que as providncias sejam tomadas
de forma mais breve possvel e que asevidncias sejam preservadas
para uma futura investigao do evento ocorrido.A ABNT (2007) cita
alguns exemplos de incidentes de segurana da informao, como: a)
perda de servio, equipamento ou recurso; b) mau funcionamento ou
sobrecarga do sistema; c) erros humanos; d) no conformidade com
polticas ou diretrizes; e) mudanas descontroladas de sistemas; f)
mau funcionamento de software ou hardware; g) violao de acesso.Um
procedimento importante sugerido nessa seo a padronizao de um
formulrio, paraorientar e facilitar a comunicao desses incidentes
pelos usurios aos responsveis pelagesto da segurana da
informao.1.7.10 Gesto da continuidade do negcioEssa seo, segundo a
ABNT (2005), expe os aspectos da gesto da continuidade do
negciorelativos segurana da informao, com o objetivo de evitar a
interrupo das atividades donegcio, proteger os processos crticos
contra falhas e assegurar o seu reestabelecimento emtempo hbil.
Para uma boa gesto de continuidade do negcio necessrio identificar
osriscos, efetuar testes e manutenes e criar planos para gerir as
potenciais pausas nasatividades essenciais do negcio que envolva os
sistemas de informao.1.7.11 ConformidadeO objetivo desta seo evitar
violaes de quaisquer obrigaes legais visando garantir queo projeto,
a operao, o uso e a gesto de sistemas de informao estejam em
conformidadecom os requisitos contratuais e leis regulamentadoras
(ABNT, 2005). recomendada aidentificao da legislao aplicvel, dos
direitos de propriedade intelectual, a proteo de
32. 32registros organizacionais e garantir a privacidade de
informaes pessoais. Convm garantir aconformidade com as polticas e
normas da segurana da informao, efetuando controle deauditoria para
verificar se as implementaes esto de acordo com as normas
tcnicas.
33. 33CAPTULO 2 MATERIAIS E MTODOS2.1 Descries do ambiente de
pesquisaO ambiente escolhido para ilustrar a implementao de
segurana em redes de computadoresfoi Distrito de Servios do
Gorutuba (DTGA), que uma unidade administrativa daCompanhia de
Saneamento de Minas Gerais (COPASA) no municpio de Janaba.A
utilizao dos recursos computacionais da empresa regida por uma
norma deprocedimentos, denominada NP 2011-005/0, que aborda as
polticas de segurana dainformao. Essa norma est disponvel a todos
os funcionrios atravs da intranet,juntamente com as demais normas
de procedimentos da empresa. Foi desenvolvida em 2011com o pleno
apoio da administrao da empresa e define as competncias das
unidadesresponsveis pela gesto da estrutura de rede e das demais
unidades da COPASA que autilizam, a criao de uma Comisso de
Segurana da Informao e critrios gerais parautilizao dos recursos de
informtica, segurana da informao e controle de acesso etratamento
de informaes do ambiente web.A rede de computadores do DTGA
composta dos equipamentos descritos na relao abaixo,e so
organizados conforme a Fig. 8:40 (quarenta) Computadores com
sistemas operacionais Windows XP ou Windows 7;01 (um) Servidor de
arquivos Itautec com processador Intel Inside Xeon;01 (um) Roteador
Cisco modelo CDA 2501;01 (um) Switch 3Com 28 portas;01 (um) Modem
HDSL New Bridge modelo MainStreet 2821;01 (um) Switch 3Com 26
portas modelo SuperStack 3 3C17300A 4020;01 (um) Switch 3Com 28
portas modelo SuperStack 3C17301 4228G.
34. 34 FIGURA 8 - Arquitetura da rede de computadores do DTGA
Fonte: Autoria prpriaComo mostrado na Fig. 8, so apresentados na
Fig. 9 a imagem do servidor de arquivos locale o nobreak e na Fig.
10 so apresentados os equipamentos da rede do DTGA. FIGURA 9 -
Servidor de arquivos local do DTGA e nobreak Fonte: Autoria
prpria
35. 35 FIGURA 10 Equipamentos de rede (modem, roteador, switch
e patch panel) Fonte: Autoria prpriaOs usurios da empresa utilizam
a rede para compartilhar arquivos e impressores, acesso intranet,
utilizao de software de gesto, acesso internet (somente alguns
computadorespossuem acesso internet) e webmail. O software sistema
de gesto (ERP SAP) instaladoem todas as mquinas na forma de
terminal cliente, sendo todo o processamento feito em umservidor
central na matriz, em Belo Horizonte. Porm no entraremos em
detalhes para nofugir do campo de abrangncia desta pesquisa.Para
acesso s mquinas, segundo a Companhia de Saneamento de Minas Gerais
(COPASA,2011), conforme descrito na NP 2011-005/0, os usurios
necessitam de autenticao naforma de login e senha. Os usurios no
possuem permisso para alterar configuraes neminstalar softwares nas
mquinas, demandas desse tipo so feitas pelos administradores de
rededas unidades de gesto.As cpias de segurana (backup) do servidor
de arquivos so feitas remotamente para osservidores em Belo
Horizonte e possuem frequncia de operao diria.Todas as mquinas
possuem antivrus MacAfee instalado e, com os sistemas e softwares
comprogramao de atualizao automtica.A empresa mantm um servio de
Help Desk, composta de uma equipe treinada e capacitadapara
solucionar a maioria dos problemas que os usurios possam ter com o
ambiente deinformtica, sendo a maior parte dos problemas
solucionados por acesso remoto em tempohbil. Essa estratgia visa
reduzir o perodo de ociosidade que os equipamentos e usuriospossam
ter com a falha de algum servio ou equipamento.
36. 36No h acesso por meio de tecnologia sem fio a rede do
DTGA.2.2 Metodologias da pesquisaA natureza da pesquisa definida
como qualitativa, por ter caracterstica observacional ecompreender
os acontecimentos que envolvem a pesquisa.A finalidade da pesquisa
caracterizada como bsica, por estar ligada ao incremento
doconhecimento cientifico, sem quaisquer objetivos comerciais.O
tipo de pesquisa possui natureza descritiva, por ter como objetivo
descrever como soimplementadas as solues de segurana de rede e
enquadramento quanto a normas tcnicasno ambiente pesquisado.A
estratgia de pesquisa em relao ao local de coleta de dados se
caracteriza como pesquisade laboratrio, onde os dados sero
coletados e monitorados a fim de observar seucomportamento em um
ambiente controlado. Quanto fonte de informao, teremos as
duascaractersticas: em campo, por necessitar consultar alguns
especialistas da rea, analistas deTecnologia da Informao (TI) da
COPASA, bem como professores que possuemconhecimento sobre o
assunto e bibliogrfica por ser necessria a consulta de livros,
revistas,peridicos, normas tcnicas, normas de procedimentos
internos da empresa e internet paraobter mais informaes sobre o
tema.Como o ambiente analisado no permite um envolvimento mais
profundo, como inserirmquinas particulares nem instalar softwares
nas mquinas da rede, devido a restries daspolticas de segurana da
empresa, ser necessrio a aplicao de formulrios e
realizarentrevistas com os Analistas de TI da COPASA a fim de
conhecer, familiarizar, descrever esimular o ambiente operacional
de rede da empresa pesquisada para se chegar o mais prximopossvel
da realidade implementada. Com as informaes levantadas, ser possvel
verificar onvel de segurana implantado no ambiente de pesquisa de
acordo as normas tcnicas esugerir melhorias para adequao a tais
normas.2.3 Aplicao de formulrio para levantamento de informaesPara
descobrir mais sobre as implementaes de segurana da informao no
ambiente derede do DTGA, foi aplicado um formulrio, anexo a essa
pesquisa como apndice. Esseformulrio foi uma adaptao do formulrio
aplicado pelo Rosemann (2002) na sua
37. 37monografia intitulada "Software para avaliao da segurana
da informao de uma empresaconforme a norma NBR ISO/IEC 17799" na
qual cria um modelo de software na qual possvel avaliar e
quantificar a anlise de segurana da informao segundo a norma
citada.O formulrio aplicado composto de 75 questes, divididas em 11
sees conforme a normaNBR ISO/IEC 27002, e suas respostas so
expostas na forma dicotmica, podendo serrespondidas em SIM, caso o
questionamento se aplica na empresa, ou NO caso contrrio.Para
obteno dos resultados sero analisadas as respostas geradas em cada
seo em um todocom o objetivo de verificar a conformidade do
ambiente analisado com a norma NBRISO/IEC 27002.2.4 Anlise dos
elementos essenciais de segurana da informaoNo DTGA, foi observado,
que para garantir a integridade das informaes, utilizado omtodo de
controle de segurana que, segundo Moraes (2012), conhecido como
Need toKnow, em que concede aos usurios permisso de acesso somente
aos recursos que sonecessrios para utilizao dos trabalhos, visando
garantir a integridade das informaes.Somente algumas mquinas
possuem acesso liberado internet, sendo que alguns sites queno tem
finalidade compatvel com as atividades da empresa so bloqueados
pelo servidorproxy.Para garantir a confidencialidade, so utilizados
para acessar a rede, a identificao do usurioque, conforme citado
anteriormente, composta de login e senha. O login corresponde
amatrcula de registro do funcionrio composta de cinco nmeros. A
senha deve possuir pelomenos oito caracteres e ser composta de
nmeros, letras e caracteres especiais (pelo menosum caractere de
cada tipo), sendo expirada automaticamente aps 3 meses, devendo
serredefinida aps essa prazo. Tambm so utilizados softwares
antivrus em cada mquina, comatualizaes constantes, para evitar o
furto de informaes confidenciais para entidadesexternas ao sistema.
A arquitetura da rede tambm foi projetada visando dar mais
seguranacontra invaso, sendo a comunicao com o ambiente externo
filtrada por firewalls e h afiltragem de pacotes de rede pelo
servidor proxy nas comunicaes com a internet.A principal causa de
falta de disponibilidades da rede identificada a falta de energia
eltrica,que ocorre muito raramente e por tempo considerado curto, e
que no sobrecarrega asatividades da empresa, sendo, portanto, no
necessrio o investimento em equipamentos queminimizem a situao,
como geradores de energia. So utilizados equipamentos NoBreaks
38. 38para garantir que os servidores sero encerrados
corretamente ou aguardar o restabelecimentoda energia eltrica. A
rotina de backups realizada no servidor de arquivos tambm
contribuipara a disponibilidade das informaes, sendo restaurados os
dados imediatamente sempreque h alguma falha no servidor de
arquivos. A equipe de Help Desk tambm umaimportante estratgia
utilizada para restabelecer os recursos em caso de falhas.Na
Copasa, os logs de todas as unidades so armazenados na Matriz da
empresa pelo servidorde proxy, mas somente so analisados sob
demanda ou denncia de uso inadequado pelosusurios, so sendo gerados
alertas de tentativas de burlar as restries.
39. 39CAPTULO 3 RESULTADOSPara ilustrar os resultados obtidos,
foram gerados grficos com a porcentagem de questes emque foram
respondidas afirmativamente e negativamente, em relao ao total de
questesaplicadas relativas a cada seo do formulrio aplicado. P 120
o 100 100 100 100 100 r 100 92 c 86 83 e 80 80 75 n 67 t a 60 g e
40 33 m 25 20 20 14 17 Sim 8 0 0 0 0 0 No 0GRFICO 3 - Resultados
obtidos por seo da normaFonte: Autoria prpriaNo Graf. 3 foram
mostrados os resultados obtidos individualmente em todas as
seesabordadas no formulrio aplicado. O objetivo de se mostrar
resultados divididos em sees facilitar a identificao das
deficincias encontradas nessa anlise. Os resultados foramobtidos de
acordo com as respostas do responsvel pela segurana da informao na
empresa,na Diviso de Telecomunicaes (DVTL), foi aplicado somente a
este por entender todos osprocessos que envolvem segurana da
informao, e pelo formulrio conter alguns contedostcnicos que o
usurio comum no teria condies de responder com clareza e
objetividade.
40. 40Para ilustrar o resultado de uma forma geral, foi gerado
o Graf. 4 mostrado logo abaixo, naqual so utilizados como parmetros
os resultados obtidos em todas as sees no Graf. 3 eretirada uma
mdia aritmtica. Resultado Geral 18% Sim No 82% GRFICO 4 - Resultado
geral da anlise do formulrio Fonte: Autoria prpriaO Graf. 4 ilustra
a obteno de 82% de conformidade com a norma NBR ISO/IEC 27002 e18%
de no conformidade.
41. 41CAPTULO 4 ANLISE E DISCURSO DOS RESULTADOSCom a anlise
dos grficos, verifica-se na Seo 1 - Poltica de segurana da
informao, aobteno de 100% de adequao do ambiente analisado em relao
norma. Comojustificativa para o resultado obtido, verificou-se que
a empresa possui um documentoaprovado pela direo, em que so
descritas as polticas de segurana da informao. Essedocumento serve
de guia para definir os responsveis pela implantao da segurana
dainformao nos diversos setores da empresa, bem como as instrues
que devero serseguidas pelos usurios para obterem acesso rede de
computadores e como utiliza-la daforma segura. Existe uma comisso
interna, denominada Comisso de Segurana daInformao, responsvel por
analisar e aprovar as propostas de reviso das polticas desegurana,
com o objetivo de adequ-la aos interesses da empresa com as boas
prticas domercado. Essa comisso composta pelos gerentes de todas as
reas responsveis pelasegurana da informao, juntamente com o gerente
do setor de auditoria e se renemsemestralmente ou
extraordinariamente quando necessrio.Na Seo 2 - Organizando a
segurana da informao, obteve-se cerca de 86% de adequao norma,
sendo justificado, tambm, pela existncia da Comisso de Segurana da
Informaoque coordena as implementaes de controles de segurana da
informao e analisacriticamente as polticas de segurana da informao.
Os riscos de segurana com prestadoresde servio so identificados e
controlados e so definidos no contrato os requisitos desegurana da
informao, sendo definido pelo controle de acesso, apenas, as
funcionalidadesnecessrias para a realizao de servios terceiros. Um
fato negativo encontrado nessa seo o fato de a empresa nunca obter
uma consultoria especializada em segurana da informao,talvez pelo
fato de no se ter registros de ataque ou incidentes de segurana
informao noambiente de rede da empresa.Na Seo 3 Gesto de ativos foi
obtida 100% de conformidade com a norma, sendojustificado pelo fato
de a empresa manter um rgido controle patrimonial, inclusive com
osativos importantes de segurana da informao, no qual feito um
inventrio com os bens sobresponsabilidade de cada funcionrio. Esse
controle garante que nenhum bem patrimonial daempresa seja
transferido de local ou responsvel sem que seja preenchido um
formulrioespecfico de transferncia de bens, definindo a origem e o
destino desse bem.Semestralmente so feitas pela unidade responsvel
pelo controle de bens patrimoniais asconferncias dos inventrios de
cada funcionrio, garantindo a integridade de cada bempatrimonial da
empresa.
42. 42Na Seo 4 Segurana em pessoas foi encontrado um baixo nvel
de conformidade, sendoobtido somente 25% de adequao. Esse resultado
se justifica pela falta de investimento daempresa no treinamento e
conscientizao dos funcionrios em como seguir as diretrizes
desegurana e formalizar meios para que os mesmos possam notificar
as ocorrncias deincidentes de segurana. Em contrapartida, existe um
canal de comunicao denominado HelpDesk, no qual os funcionrios
podem reportar incidentes de segurana direo da empresa.Existem
tambm normas disciplinares com o objetivo de dissuadir os
funcionrios quedesrespeitem as normas impostas nas polticas de
segurana.Na Seo 5 Segurana fsica e do ambiente, o resultado obtido
foi de 80% de conformidadecom a norma, sendo os fatores importantes
para a obteno desse resultado a implementaode medidas de segurana
para acesso as instalaes da empresa, como entrada registrada
porcarto magntico, funcionrios recepcionistas. So utilizados
equipamentos Nobreaks paraevitar que possveis quedas de energia
eltrica danifiquem os equipamentos ou corrompamarquivos em
processamento. Destaca-se que as manutenes dos equipamentos de
informticaso feitos somente por pessoal autorizado, a solicitao de
manuteno dos equipamentos soregistrados por meio do canal Help Desk
e em caso de impossibilidade de a manuteno dosequipamentos serem
feitas na prpria unidade, os equipamentos danificados so enviados
paraa matriz para as devidas providncias, transportada somente por
funcionrios da empresa, semcontato com terceiros, sendo vetada a
remoo de equipamentos sem adequada autorizao.Existem mtodos de
bloqueio automtico de tela assim que os computadores ficam
ociosospor mais de 10 minutos, visando evitar que pessoas no
autorizadas tenham acesso rede decomputadores. Conforme comentado
na discusso dos resultados da Seo 3, so feitasinspees regulares
para controle patrimonial e os funcionrios ento cientes que o
controleest sendo acompanhado. Os fatores que impactaram
negativamente no resultado na Seo 5foi a falta de instalao adequada
dos equipamentos de processamento da rede, comoservidores e
roteadores, a ausncia de trancas para acesso a esses equipamentos e
a exposiodos cabeamentos de rede.Na Seo 6 Gerenciamento das operaes
e comunicao, os questionamentos foramrespondidos na sua totalidade
de forma afirmativa, sendo destacado o empenho da empresaem
garantir a disponibilidade dos dados, como rotinas de backup bem
definidas edocumentadas, controle dos softwares instalados nas
mquinas, uso de softwares licenciados eantivrus nas mquinas,
verificao do trfego de dados com a rede externa por meio deantivrus
de gateway, utilizao de VPN na comunio entre a rede do DTGA e o
backboneda empresa. As rotinas de backup so realizadas remotamente
e so armazenadas em local
43. 43seguro na matriz. Os funcionrios so orientados a
utilizarem o correio eletrnico somentepara atividades relacionadas
com o negcio da empresa.Na Seo 7 Controle de acesso, obteve-se o
resultado de quase 92%, destacando-se aeficincia nos procedimentos
adotados para o controle de acesso a rede. As regras para ocontrole
de acesso esto documentadas na poltica de segurana e a concesso de
privilgiosde acesso somente so concedidos aps anlise das
necessidades dos usurios. Recentemente,foi disponibilizado um guia
para orientar os usurios na escolha de senhas e foram
definidosnovos procedimentos para composio de senha como tamanho
mnimo de oito caracteres,obrigatoriamente composta de pelo menos um
numeral, letra e caractere especial e dever seralterada aps um
perodo de trs meses, sendo vetada a reutilizao das ltimas trs
senhas. Ologin de identificao individual e representa a matrcula de
cada funcionrio. O horrio dasmquinas sincronizado pela rede e os
usurios comuns no possuem autorizao de acesso aalterao dessa
propriedade.Na Seo 8 Desenvolvimento e manuteno de sistemas foram
aplicados somente duasquestes, devido a no identificao desta seo
com as atividades desenvolvidas pelaempresa. Apesar disso,
obteve-se 100% de adequao devido a utilizao de softwaresantivrus
nas mquinas, antivrus de gateway na interface de comunicao com a
rede externae atualizao constantes dos softwares e sistemas visando
garantir a no ocorrncia de falhas eintroduo de Cavalos de Troia.Na
Seo 9 Gesto de incidentes de segurana da informao o resultado
obtido foi de 33%,sendo novamente os fatores determinantes desse
resultado a falta de comunicao da empresacom os usurios da rede
quando o assunto segurana da informao. Apesar da preocupaode se
notificar a direo da empresa em caso de ocorrncia de incidentes de
segurana dainformao, no existe o alerta para que os funcionrios
notifiquem eventos de segurana dainformao nem algum formulrio que
apoie estes em caso de incidentes.Na Seo 10 Gesto da continuidade
do negcio obteve-se o resultado de 100% pelo fato dea empresa
identificar as possveis causas de interrupes nos sistemas que
influemdiretamente no negcio e tomar medidas que garantem a
continuidade do negcio como usode instalao de extintores de
incndio, utilizao de equipamentos no-breaks e rotinas debackup.Na
Seo 11 Conformidade obteve-se 83% de conformidade com a norma. Foi
identificadaque a empresa possui polticas que asseguram a aquisio e
instalao de software comlicena de utilizao, sendo sempre respeitada
as leis de direitos autorais e patentes, e vetada acpia por pessoal
no autorizado. So sempre armazenadas em arquivo fsico os
registros
44. 44importantes da empresa, vetado o uso de recursos de
processamento para finalidade que noseja compatvel com a natureza
das atividades da empresa, bem como usos particulares e asmquinas
possuem mensagens na tela de logon, informando que um sistema
restritosomente aos usurios com acesso a rede. O fator negativo
identificado nessa seo foi a faltade procedimentos de auditoria
visando minimizar o risco de interrupo dos processos donegcio.No
geral, foi obtido o resultado de 82% de adequao com as prticas
abordadas na normaNBR ISO/IEC 27002/2005, sendo considerado um timo
resultado, onde observou-se que aempresa mantm boas implementaes
fsicas e lgicas no mbito da segurana dainformao, mas peca em
treinar, instruir e conscientizar os funcionrios para o uso correto
dainfraestrutura da empresa, bem como no possui meios facilitados
para que os funcionriospossam notificar incidentes de segurana nem
facilita o acesso a poltica de segurana dainformao.
45. 45 CONSIDERAES FINAISA segurana da informao um dos
principais fatores para o bom funcionamento desistemas
informatizados e a sua boa gesto traz excelentes resultados para a
continuidade dosnegcios de qualquer organizao, trazendo confiana
nos servios oferecidos e reduzindoperdas com a indisponibilidade de
recursos e roubos de informaes, sendo esses os itensprincipais que
garantam a importncia dessa pesquisa e o que a torna totalmente
aplicvel emqualquer organizao que utilize sistemas informatizados
na execuo das suas atividades.Analisando os resultados obtidos,
avalia-se a estrutura de redes do ambiente analisado comoum
ambiente seguro, com pouca visada de ataques, poucos incidentes de
contaminao porvrus, sem registros de ataques externos e rarssimos
registros de indisponibilidade dosrecursos.So identificados poucos
incidentes de indisponibilidade da rede, sendo os meios
utilizadospara controlar e restabelecer a comunicao considerada
eficiente para este tipo de ambiente eatividades desenvolvidas.O
resultado obtido de 82% de conformidade com a norma verifica as
boas implementaes daempresa com as prticas sugeridas, contribuindo
assim para um ambiente informatizado maisseguro, tendo se em vista
que o ambiente analisado tem poucos registros de tentativas
deataques, poucos incidentes de contaminao por vrus, sem registros
de ataques externos,rarssimos registros de indisponibilidade dos
recursos, apesar de no existir no mundo umambiente informatizado
100% seguro e imune a ataques.Sero sugeridas melhorias nos itens
identificados, principalmente em segurana em pessoas egesto de
incidentes de segurana da informao por apresentarem baixos ndices
deconformidade e com resultados abaixo da mdia em relao aos demais,
mesmo assimconsiderado de igual importncia pela norma ISO/IEC
27002. A segurana em pessoas fundamental para toda a gesto de
segurana da informao, pois so pessoas que utilizam ossistemas
informatizados e os principais incidentes so ocasionados pela falta
de orientao oumau uso por parte dos usurios.Os objetivos da
pesquisa foram atingidos j que se conseguiu identificar os
principaismtodos sugeridos pela norma, com resultados satisfatrios,
e foram apontados itens paramelhoria das prticas visando o aumento
e controle da segurana da informao.Como pesquisas futuras, podem
ser feitos estudos para propor melhorias no desempenho dacomunicao
da rede de computadores do DTGA e outras unidades semelhantes, bem
comoaplicar uma pesquisa investigativa, como forense computacional,
visando identificar possveis
46. 46incidentes de segurana da informao que venham a
acontecer, e estudar meios de comotrata-los e, se possvel, evitar
futuros incidentes.
47. 47 REFERNCIASALBUQUERQUE, Fernando. TCP/IP Internet:
Protocolos & Tecnologia. Rio de Janeiro:Alta Books, 2001. 3.
ed.ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC
27002:Tecnologia da informao Tcnicas de segurana Cdigo de prtica
para a gesto dasegurana da informao. Rio de Janeiro: ABNT, 2005.
120 p.COMPANHIA DE SANEAMENTO DE MINAS GERAIS. NP 2011-005/0:
Utilizao derecursos computacionais, segurana e tratamento de
informaes. Belo Horizonte, 2011. 16p.MELO, Sandro. Computao Forense
com software livre: conceitos, tcnicas, ferramentase estudos de
casos. Rio de Janeiro: Alta Books, 2009.MORAES, Alexandre Fernandes
de. Segurana em redes: Fundamentos. So Paulo: Editorarica,
2010.NAKAMURA, Emilio Tissato; GEUS, Paulo Lcio de. Segurana de
redes em ambientescooperativos. So Paulo: Novatec,
2007.PFAFFENBBERGER, Bryan. Estratgias de extranet. So Paulo:
Berkeley Brasil, 1998.PINHEIRO, Jos Maurcio Santos. Programas de
Segurana para Redes Corporativas.Disponvel
em:http://www.projetoderedes.com.br/artigos/artigo_programas_de_seguranca_para_redes_corporativas.php.
Acesso em: 19 abr. 2012.ROSEMANN, Douglas. SOFTWARE PARA AVALIAO DA
SEGURANA DAINFORMAO DE UMA EMPRESA CONFORME A NORMA NBR ISO/IEC
17799.2002. 102 f. Monografia (Graduao em Cincias da Computao)
Centro de CinciasExata e Naturais, Universidade Regional de
Blumenau, Blumenau, 2002.STALLINGS, Willian. Redes e sistemas de
comunicao de dados. 5 ed. Rio de Janeiro:Elsevier, 2005.TANENBAUM,
Andrew S. Redes de Computadores. 4 ed. Rio de Janeiro: Editora
Campus,2003.
48. 48TORRES, Gabriel. Redes de Computadores: Curso Completo.
Rio de Janeiro: Editora AxcelBooks do Brasil, 2001.VALLE, James
Della, ULBRICH, Henrique Csar. Universidade Hacker: Desvende
todosos segredos do submundo dos hackers. 6 ed. So Paulo: Digerati
Books, 2009.
49. 49APNDICE A FORMULRIO DE VERIFICAO DE ADEQUAO A NBR ISO/IEC
27002:2005 Questo de auditoria S N 1 Poltica de segurana da
informao 1.1 Se existe alguma poltica de segurana da informao, que
seja aprovado pela direo, publicado e comunicado, de forma
adequada, para todos os funcionrios. 1.2 Se esta expressa as
preocupaes da direo e estabelece as linhas-mestras para a gesto da
segurana da informao. 1.3 Se a poltica de segurana tem um gestor
que seja responsvel por sua manuteno e anlise crtica, de acordo com
um processo de anlise crtica definido. 1.4 Se o processo garante
que a anlise crtica ocorra como decorrncia de qualquer mudana que
venha afetar a avaliao de risco original. Exemplo: Incidentes de
segurana significativos, novas vulnerabilidades ou mudanas
organizacionais ou na infra-estrutura tcnica. 2 Organizando a
segurana da informao 2.1 Se existe um frum multifuncional com
representantes da direo de reas relevantes da organizao para
coordenar a implementao de controles de segurana da informao. 2.2
Se as responsabilidades pela proteo de cada ativo e pelo
cumprimento de processos de segurana especficos sejam claramente
definidos. 2.3 Se foi implantado um processo de gesto de autorizao
para novos recursos de processamento da informao. Isto deve incluir
todos os novos recursos, como hardware e software. 2.4 Se uma
consultoria especializada em segurana da informao obtida quando
apropriado. Um indivduo especfico deve ser identificado para
coordenar conhecimentos e experincias dentro da organizao para
assegurar consistncia, e prover ajuda na deciso de segurana. 2.5 Se
a implementao da poltica de segurana analisada criticamente, de
forma independente. Isto para fornecer garantia de que as prticas
da organizao refletem apropriadamente a poltica, e que esta
adequada e eficiente. 2.6 Se os riscos de segurana com prestadores
de servio trabalhando no ambiente da empresa foram identificados e
controles apropriados so identificados. 2.7 Se os requisitos de
segurana so definidos no contrato com prestadores de servios,
quando a organizao tiver terceirizado o gerenciamento e controle de
todos ou alguns dos sistemas de informao, redes e/ ou estaes de
trabalho. 3 Gesto de ativos 3.1 Se um inventrio ou registro mantido
com os ativos importantes relacionados com cada sistema de
informao. 3.2 Se cada ativo identificado possui um gestor, se foi
definido e acordado na classificao de segurana, e se sua localizao
foi definida.
50. 504 Segurana em pessoas4.1 Se regras e responsabilidades de
segurana so documentadas onde for apropriado, de acordo com a
poltica de segurana da informao da organizao.4.2 Se os funcionrios
so questionados a assinarem acordos de confidencialidade ou no
divulgao como parte dos termos e condies iniciais de contratao.4.3
Se os termos e condies de trabalho determinam as responsabilidades
dos funcionrios pela segurana da informao. Quando apropriado, estas
responsabilidades devem continuar por um perodo de tempo definido,
aps o trmino do contrato de trabalho.4.4 Se todos os funcionrios da
organizao e, onde for relevante, prestadores de servios recebem
treinamento apropriado e atualizaes regulares sobre as polticas e
procedimentos organizacionais.4.5 Se existe um procedimento ou
diretriz formal para reportar incidentes de segurana atravs dos
canais apropriados da direo, o mais rapidamente possvel.4.6 Se
existe um procedimento ou diretriz formal para que os usurios sejam
instrudos a registrar e notificar quaisquer fragilidades ou ameaas,
ocorridas ou suspeitas, na segurana de sistemas ou servios.4.7 Se
foram estabelecidos procedimentos para notificar qualquer mau
funcionamento de software.4.8 Se existe um processo disciplinar
formal para os funcionrios que tenham violado as polticas e
procedimentos de segurana organizacional. Tal processo pode
dissuadir funcionrios que, de outra forma, seriam inclinados a
desrespeitar os procedimentos de segurana.5 Segurana fsica e do
ambiente5.1 Se barreiras fsicas, como recursos de segurana, foram
implementadas para proteger o servio de processamento da informao.
Alguns exemplos de tais recursos de segurana so o controle por
carto do porto de entrada, muros, presena de um funcionrio na
recepo, etc.5.2 Se existem controles de entrada para permitir
somente a entrada do pessoal autorizado dentro de vrias reas da
organizao.5.3 Se as salas, que possuem o servio de processamento de
informao ou contm armrios fechados ou cofres, so trancadas.5.4 Se o
equipamento foi instalado em local apropriado para minimizar acesso
no autorizado rea de trabalho.5.5 Se o equipamento protegido contra
falhas de energia e outras anomalias na alimentao eltrica.,
utilizando fornecimento de energia permanente como alimentao
mltipla, no-break, gerador de reserva, etc.5.6 Se o cabeamento
eltrico e de telecomunicaes que transmite dados ou suporta os
servios de informao protegido contra interceptao ou dano.5.7 Se a
manuteno realizada apenas pelo pessoal autorizado.5.8 Se so
mantidos registros com todas as falhas suspeitas ou ocorridas e de
toda a manuteno corretiva e preventiva.
51. 515.9 Se os controles apropriados so utilizados quando do
envio de equipamentos para manuteno fora da instalao fsica.5.10 Se
um equipamento autorizado pela direo quando necessitar ser
utilizado fora das instalaes da organizao.5.11 Se um servio de
bloqueio automtico de tela de computador est ativo. Isso ir travar
o computador sempre que for5.12 deixado ocioso por um
determinadodeixar qualquer material Se os empregados so avisados
para tempo. confidencial de forma segura e trancada.5.13 Se vetada
a remoo de equipamentos, informaes ou software sem adequada
autorizao.5.14 Se inspees regulares so realizadas para detectar
remoo de propriedade no autorizada.5.15 Se as pessoas esto cientes
que estas inspees regulares esto realizadas.6 Gerenciamento das
operaes e comunicaes6.1 Se uma poltica de segurana identifica
qualquer procedimento operacional como backup, manuteno de
equipamentos, etc.6.2 Se estes procedimentos esto documentados e so
utilizados.6.3 Se todos os programas executados no sistema de
produo so submetidos ao controle estrito de mudanas. Qualquer
mudana nesses programas de produo deve ser autorizada pelo controle
de mudanas.6.4 Se existe algum controle contra o uso de software
malicioso.6.5 Se a poltica de segurana define caractersticas de
licenciamento de software como proibio do uso de software no
autorizado.6.6 Se um software antivrus est instalado nos
computadores para verificar e isolar ou remover qualquer vrus do
computador ou mdia.6.7 Se a assinatura deste software est
atualizada em uma base regular para verificar por ltimas verses de
vrus.6.8 Se todo o trfego originado de uma rede insegura para a
organizao verificado por vrus. Exemplo: Verificar vrus no e-mail,
anexos de e-mail , web, trfego FTP.6.9 Se cpias de segurana de
informaes essenciais aos negcios como servidor de produo,
componentes crticos de rede, configurao, etc, so realizadas
regularmente. Exemplo: Segunda-Quinta: Cpia incremental. Sexta:
Cpia completa.6.10 Se a mdia que contm a cpia de segurana e o
procedimento para restaurar tal cpia so armazenados seguramente e
bem longe do local onde foram realizadas.6.11 Se existe algum
controle especial para assegurar confidencialidade e integridade do
processamento de dados em uma rede pblica e para proteger sistemas
conectados. Exemplo: Redes privadas virtuais (VPN), outros
mecanismos de encriptao e hashing, etc.6.12 Se a documentao do
sistema protegida contra acesso no autorizado.6.13 Se a lista de
acesso para a documentao do sistema mantida mnima e autorizada pelo
dono da aplicao. Exemplo: Documentao do sistema necessita ser
mantida em um drive compartilhado para fins especficos. A
documentao necessita ter listas de controle de acessos ativa (para
ser acessada somente por usurios limitados).
52. 526.14 Se existe uma poltica ativa para o uso de correio
eletrnico ou poltica de segurana que define caractersticas em relao
ao uso do correio eletrnico.6.15 Se controles como verificao de
antivrus, isolao de anexos potencialmente inseguros, controle de
spam, anti relaying, etc, esto ativos para reduzir os riscos
criados pelo correio eletrnico.7 Controle de acesso7.1 Se os
requisitos do negcio para controle de acesso foram definidos e
documentados.7.2 Se a poltica de controle de acesso define as
regras e direitos para cada usurio ou um grupo de usurios.7.3 Se a
concesso e o uso de quaisquer privilgios de um sistema de informao
multiusurio restrito e controlado, por exemplo, se privilgios so
concedidos pela necessidade do usurio, e somente depois de um
processo de autorizao formal.7.4 Se os usurios so solicitados a
assinar uma declarao a fim de manter a confidencialidade de sua
senha pessoal. A concesso e alterao de senhas devem ser controladas
por um processo de gerenciamento formal.7.5 Se existe alguma
diretriz para guiar usurios na escolha e manuteno segura de
senhas.7.6 Se o acesso ao sistema de informao realizado atravs de
um processo seguro de entrada (login) no sistema.7.7 Convm os
usurios (incluindode pessoal de suporte tcnico, Se todos que o
procedimento o entrada no sistema de computador seja projetado para
minimizar a oportunidade de como operadores, administradores de
redes, programadores acessos no autorizados. de sistema e
administradores de rede) tenham um identificador nico.7.8 As o
mtodo de autenticao utilizado somente seridentidade Se contas
genricas de usurio devem confirma a fornecidas sobre circunstncias
excepcionais no qual h um benefcio de alegada pelo usurio. Mtodo
comumente utilizado: Senhas negcio claro. Controles adicionais
devem ser necessrios somente conhecidas pelos usurios. para
gerenciar as contas.7.9 Se existe um sistema de gerenciamento de
senhas que refora vrios controles de senhas, como: Senha
individual, refora alteraes de senha, gravar senha de forma
criptografada, no mo