UNEB UNIO EDUCACIONAL DE BRASILIA COPEX COORDENAO DE ESTUDOS, PESQUISAS, PS-GRADUAO E EXTENSO REDES DE COMPUTADORES - TURMA B

DANIELE FERREIRA DENIS N. LOPES JOSE WALDEMAR POMPOLO LUCIANO TEIXEIRA ANDRADE MARIA DO SOCORRO B. HENRIQUES

PROPOSTA PARA UMA POLTICA DE SEGURANA DE DADOS APLICADA S SECRETARIAS DE RECEITA

Braslia DF 2001

UNEB UNIO EDUCACIONAL DE BRASILIA COPEX COORDENAO DE ESTUDOS, PESQUISAS, PS-GRADUAO E EXTENSO REDES DE COMPUTADORES - TURMA B

DANIELE FERREIRA DENIS N. LOPES JOSE WALDEMAR POMPOLO LUCIANO ANDRADE MARIA DO SOCORRO HENRIQUES

PROPOSTA PARA UMA POLTICA DE SEGURANA DE DADOS APLICADA S SECRETARIAS DE RECEITA

Projeto apresentado COPEX Coordenao de Estudos, Pesquisas, Ps-Graduao e Extenso da UNEB Unio Educacional de Braslia, parte dos requisitos para obteno do ttulo de Ps-Graduado em Redes de Computadores Orientador: Prof. Csar de Souza Machado

Braslia DF 2001

iii

DANIELE FERREIRA DENIS N. LOPES JOSE WALDEMAR POMPOLO LUCIANO ANDRADE MARIA DO SOCORRO HENRIQUES

PROPOSTA PARA UMA POLTICA DE SEGURANA DE DADOS APLICADA S SECRETARIAS DE RECEITA

Este projeto foi julgado adequado para obteno do ttulo de Ps-Graduado em Redes de Computadores e aprovado em sua forma final pela COPEX Coordenao de Estudos, Pesquisas, Ps-Graduao e Extenso da UNEB Unio Educacional de Braslia.

___________________________________ Prof. . Coordenador

Banca Examinadora: ___________________________________ Prof. Csar de Souza Machado. Orientador

___________________________________ Prof. Joaquim Gomide

___________________________________ Prof. Alex Delgado Casaas

iii

Aos nossos familiares e companheiros, que durante todo o curso de ps graduao e elaborao do projeto final entenderam nossas faltas e ausncias nos incentivando com palavras e atos. Graas a estas pessoas to especiais, estamos neste momento concluindo mais uma importante etapa em nossa jornada profissional. Agradecemos a todos de corao.

iv

SUMRIO PGINA LISTA DE ILUSTRAES ...................................................................................VII LISTA DE TABELAS ........................................................................................... VIII LISTA DE ABREVIATURAS E SIGLAS ............................................................. IX 1. INTRODUO .....................................................................................................12 2. OBJETIVOS ..........................................................................................................15 2.1. OBJETIVO GERAL ...............................................................................................15 2.2. OBJETIVOS ESPECFICOS:....................................................................................15 3. FUNDAMENTAO TERICA........................................................................17 3.1. SEGURANA DA INFORMAO............................................................................17 3.2. PROJETO DE SEGURANA ...................................................................................17 3.3. PLANO DE SEGURANA ......................................................................................18 3.4. NORMA DE SEGURANA .....................................................................................19 3.5. PROCEDIMENTOS DE SEGURANA ......................................................................19 3.6. ARQUITETURA DE SEGURANA ..........................................................................20 3.7. MODELO DE SEGURANA ...................................................................................21 3.8. HISTRICO DAS NORMAS DE PADRONIZAO DE SEGURANA ...........................22 3.9. POLTICA DE SEGURANA...................................................................................26 3.9.1. Viso Geral de uma Poltica de Segurana................................................27 3.9.2. Identificao dos Recursos .........................................................................29 3.9.3. Consideraes Importantes .......................................................................29 3.9.4. Premissas Bsicas.......................................................................................30 3.9.5. Contedo Essencial.....................................................................................31 3.9.6. Principais Atores ........................................................................................31 3.9.7. Flexibilidade ...............................................................................................33 3.9.8. Classificao das Informaes ...................................................................34 3.9.9. Anlise de Riscos ........................................................................................35 3.9.9.1. Riscos Externos .......................................................................................36 3.9.2.2. Riscos Internos ........................................................................................39 3.9.10. Anlise de Ameaas ..................................................................................39 3.9.11. Auditoria ...................................................................................................41 3.9.12. Plano de Contingncia..............................................................................42 3.10. FERRAMENTAS DE SEGURANA ........................................................................45 3.10.1. Criptografia ..............................................................................................45 3.10.1.1. Algoritmos Criptogrficos.....................................................................45 3.10.1.2. Criptografia Simtrica ...........................................................................46 3.10.1.3. Algoritmos de Chave Simtrica.............................................................46 3.10.1.4. Criptografia Assimtrica .......................................................................47 3.10.1.5. Algoritmos de Chave Assimtrica.........................................................48 3.10.1.6. Algoritmos para Gerao de Assinatura Digital....................................49 3.10.2. PKI (Public Key Infrastructure) ...............................................................49

v 3.10.3. Firewall.....................................................................................................51 3.10.4. Anti-Vrus..................................................................................................53 3.10.4.1. Softwares de Preveno.........................................................................53 3.10.4.2. Softwares de Deteco ..........................................................................54 3.10.4.3. Software de Identificao ......................................................................54 3.10.4.4. Requisitos Bsicos de um Antivrus......................................................54 3.10.5. VPN (Virtual Private Network).................................................................55 3.10.5.1. IPSec......................................................................................................57 3.10.6. IDS (Intrusion Detection System ) ............................................................58 3.10.7. Backup.......................................................................................................59 3.10.8. RADIUS (Remote Authentication Dial In User Service) ..........................60 3.10.9. Biometria...................................................................................................61 3.10.10. Call Back.................................................................................................62 3.10.11. Token Card..............................................................................................62 4.1. OBJETIVO GERAL DAS ORGANIZAES DE ADMINISTRAO TRIBUTRIA .........68 4.2. OBJETIVOS ESPECFICOS .....................................................................................68 4.3. ORGANOGRAMA PADRO ...................................................................................69 4.4. COMPETNCIAS GENRICAS ...............................................................................70 4.4.1. Coordenao de Administrao .................................................................70 4.4.2. Coordenao de Informtica ......................................................................71 4.4.3. Departamento de Tributao......................................................................71 4.4.4. Departamento de Arrecadao...................................................................72 4.4.5. Departamento de Fiscalizao ...................................................................72 4.4.6. Departamento de Atendimento ao Contribuinte .........................................72 4.5. PERFIL DO USURIO ...........................................................................................73 4.6. INTERAO COM OUTRAS ORGANIZAES ........................................................73 4.7. PERSPECTIVAS DE EVOLUO ............................................................................73 4.8. MATRIZ DE USO DE DADOS ................................................................................78 5. POLTICA DE SEGURANA.............................................................................81 5.1. ANLISE DE RISCOS ...........................................................................................81 5.1.1. Vulnerabilidades .........................................................................................83 5.1.1.1. Vulnerabilidades Externas.......................................................................83 5.1.1.2. Vulnerabilidades Internas........................................................................84 5.1.1.3. Vulnerabilidades Referentes a Correio Eletrnico .................................85 5.1.1.4. Vulnerabilidades Referentes a Aplicaes ..............................................85 5.1.1.5. Outras Vulnerabilidades ..........................................................................86 5.2. NORMAS DE SEGURANA ...................................................................................86 5.3. POLTICA DE SEGURANA APLICADA A PESSOAS EM CONFORMIDADE COM A ISO/IEC 17799:2000...............................................................................................................87 5.4. POLTICA DE SEGURANA LGICA .....................................................................89 5.5. POLTICA DE SEGURANA FSICA E DO AMBIENTE EM CONFORMIDADE COM A ISO/IEC 17799:2000 ................................................................................................91 5.6. APLICABILIDADE ................................................................................................94 5.7. RESPONSABILIDADE ...........................................................................................94 5.8. SANES ............................................................................................................94 5.9. PLANO DE CONTINGNCIA ..................................................................................95 5.9.1.1 Plano de Ao para Emergncias .............................................................95 5.9.1.2 Contagem dos Recursos e Avaliao de Criticidade................................96 5.9.3 Identificao de Ameaas e Contramedidas................................................97

vi 5.9.2 Procedimento de Resposta Imediata............................................................99 5.9.3 Plano de Recuperao de Desastre ...........................................................100 5.10. AUDITORIA .....................................................................................................100 5.10.1. Recomendaes ISO/IEC 17799:2000....................................................101 5.10.2. Tipos de Auditoria Propostos .................................................................102 5.10.3. Quando Devem ser Feitas as Auditorias ................................................103 5.10.4. Como Auditar..........................................................................................104 5.10.5. Metodologia ............................................................................................106 6. CONCLUSO......................................................................................................109 REFERNCIAS BIBLIOGRFICAS ..................................................................111 ANEXO I ..................................................................................................................114 ANEXO II.................................................................................................................115 ANEXO III ...............................................................................................................116

vii LISTA DE ILUSTRAES PGINA

Figura 1 Requisitos do Modelo de Segurana. ............................................................. 22 Figura 2 Processo de uma Poltica de Segurana ......................................................... 27 Figura 3 - Metodologia CobiT......................................................................................... 42 Figura 4 - Funcionamento do Processo Real-time Online Certificate Status Checking:. 50 Figura 5 Autenticao desafio/resposta com ficha ....................................................... 63 Figura 6 Autenticao com Sincronismo...................................................................... 64 Figura 7 - Estrutura Bsica das Secretarias de Receita .................................................. 70 Figura 8 Modelo observado no final da dcada de 1980 na maioria das Secretarias de Receita. .................................................................................................................... 74 Figura 9 Modelo observado na primeira metade da dcada de 1990 ........................... 75 Figura 10 Modelo implantado a partir da segunda metade da dcada de 1990 e observado at hoje num grande nmero Secretarias de Receita.............................. 76 Figura 11 Modelo tendncia para implantao ainda na dcada de 2000. ................... 77 Figura 12 Modelo de organograma observado como tendncia para as Secretarias de Receita a ser implantado nos prximos anos........................................................... 78 Figura 13 - Formao da Cultura de Segurana ............................................................ 101 Figura 14 Estrutura da Metodologia COBIT.............................................................. 108

viii LISTA DE TABELAS PGINA Tabela 1 - Matriz de Uso de dados .................................................................................. 80 Tabela 2 Anlise de Ameaas....................................................................................... 82 Tabela 3 Contagem de Recursos .................................................................................. 97 Tabela 4 Identificao de Ameaas .............................................................................. 98 Tabela 5 Ameaas e Contramedidas............................................................................. 99

ix LISTA DE ABREVIATURAS E SIGLAS

ATM ACK AES AH BS CA CC CCITSE CCSC CD-Rom CHAP CNPJ CO2 CobiT COSO CPD CPF CPU CRL CSI/FBI CTCPEC CTN CVM DES DTI ESP FD FTP GB HD HP HTTP IBM ICMS ID IDEA IDS IETF IKE INC. IP IPSec IPVA ISO/IEC IT ITSEC LAN MB MD5 MS-Office

Asynchronous Transfer Mode Acknowledgement Advanced Encryption Standard Authentication Header British Standard Certificate Authorities Common Criteria Common Criteria for Information Technology Security Evaluation Centro Comercial de Segurana na Computao Compact Disc-Read Only Memory Challenge Handshake Authentication Protocol Cadastro Nacional de Pessoa Jurdica Gs Carbnico Control Objectives for Information and Related Technology Committee of Sponsoring Organizations of the Treadway Commission Centro de Processamento de Dados Cadastro de Pessoa Fsica Central Process Unit Lista de Certificados Revogados Computer Crime and Security Survey/Federal Bureau of Investigation Canadian Trusted Computer Product Evaluation Criteria Cdigo Tributrio Nacional Comisso de Valores Mobilirios Data Encryption Standard Departamento de Comrcio Britnico Encapsulating Security Payload Floppy Disk File Transfer Protocol Gigabyte Hard Disk Hewlett Packard Hypertext Transfer Protocol International Business Machines Imposto sobre Circulao de Mercadorias e Servios Identification International Data Encryption Algorithm Intrusion Detective System Internet Engineering Task Force Internet Key Exchange Incorporated Internet Protocol Internet Protocol Security Imposto sobre Propriedade de Veculos Automotores International Organization for Standardization/International Engineer Committee Information Technology Information Technology Security Evaluation Criteria Local Area Networks Megabyte Message Digest 5 Microsoft Office

x
NAS NBS NCC NIC NIST NSA OSI PAP PKI PNAFEM POP3 PPP PPTP RA RADIUS RAM RAS RC2, RC4 RFC RIP RSA RSA/DSI SAC SAS SMTP SP SSL TCP TCSEC TFTP TI UDP UNEB UPS VB VPN WAN Web ( WWW, W3) Network Access Server National Bureau of Standards National Computing Center Network Interface Card National Institute of Standards in Technology National Security Agency Open System Interconnect Password Authentication Protocol Public Key Infrastructure Programa Nacional de Apoio Administrao dos Estados e Municpios
Post Office Protocol verso 3

Point to Point Point to Point Tunneling Protocol Registration Authorities Remote Access Dial In User Service Random Access Memory Remote Access Server Rivest Cipher Request for Comments Routing Information Protocol Rivest, Shamir, Adleman Rivest, Shamir, Adleman Data Security Inc. Systems Auditability and Control Statements on Auditing Standards Simple Mail Transfer Protocol Service Pack Secure Sockets Layer Transport Control Protocol Trusted Computer System Evaluation Criteria Trivial File Transfer Protocol Tecnologia da Informao User Datagrama Protocol Unio Educacional de Braslia Uninterruptable Power System Visual Basic Virtual Private Network Wide Area Networks World Wide Web

xi Abril/2001 ... atitude de um desequilibrado... Fernando Nri Presidente da Mdulo Security, qualificando um ex funcionrio de sua empresa que divulgou para a imprensa esquemas das redes de grandes clientes para os quais prestava consultoria Maio/2001 ... ns sempre nos preocupamos com possveis invases externas, no

imaginamos que algum da casa pudesse cometer tal desatino ... Regina Peres Teles Borges Ex Diretora do PRODASEN tentando explicar a violao do painel de votaes do Senado Federal Junho/2001 ... nunca imaginamos que um servidor de nossa carreira pudesse cometer um crime destes ... Altair Lemos Moura Diretor de administrao do Ministrio da Fazenda em So Paulo justificando as fraudes no sistema de pagamento de pensionistas do Ministrio

12 1. INTRODUO No mbito do Governo existem perdas que podem causar danos irreparveis. Recentes fatos noticiados na imprensa coincidiram com a concluso do curso de Redes de Computadores 2000/2001 UNEB, turma B, levando-nos a propor uma discusso sobre a formulao de uma poltica de segurana da informao aplicada s instituies governamentais de administrao tributria, que doravante chamaremos de Secretarias de Receita. Tal preocupao decorreu do fato destas instituies terem passado recentemente por grandes revolues no campo da informtica aplicada quando decidiram caminhar na direo da autonomia e se libertar das Companhias Estaduais/Municipais de Processamento de Dados. O Governo Federal, em diversas oportunidades, tem se manifestado no sentido de assegurar a proteo da informao sob sua guarda e aquelas de interesse do cidado. fundamental garantir o direito dos cidados privacidade, alm do direito consulta sobre os dados disponibilizados nos sistemas governamentais, previsto na Constituio. Os sites de Internet devem comprometer-se em garantir a confiabilidade das informaes de carter pessoal que so armazenadas em suas bases de dados, sejam elas relativas aos usurios ou s pessoas que compem a Administrao Pblica. A distribuio da massa informacional, garantida atravs de mecanismos de segurana para as diversas linhas de aplicao e suporte s atividades dentro e fora do governo, uma diretriz que se materializa gradativamente. Com a chegada dos computadores pessoais e das redes de computadores que se conectam ao mundo inteiro, os aspectos de segurana atingiram tamanha complexidade que h a necessidade do desenvolvimento de equipes cada vez mais especializadas para sua implementao e gerncia. Paralelamente, os sistemas de informao tambm adquiriram uma importncia vital para a sobrevivncia da maioria das organizaes modernas, j que, sem computadores e redes de comunicao, a prestao de servios com qualidade pode se tornar invivel. Logo depois que as organizaes comearam a utilizar intensamente os ambientes de computao em rede para aprimorar sua capacidade de criar, armazenar, comunicar e usar informaes vitais, a preocupao em relao proteo destas contra o acesso no autorizado e possvel destruio cresceu de forma acentuada. Como ocorreu na evoluo de vrios outros produtos, a indstria de segurana de rede inicialmente concentrou seus

13 esforos em proteger os pontos fracos mais bvios, partindo, em seguida, para identificar outras reas vulnerveis que necessitavam de ateno. A variedade e a complexidade das redes levaram ao desenvolvimento de mecanismos mais sofisticados para identificar reas vulnerveis que exigiam ateno constante. Diante da nova situao surgiu uma nova categoria de produtos que consistia em sistemas de verificao e teste. Estes produtos tinham como principal objetivo identificar pontos fracos na rede atravs da aplicao de uma variedade de cenrios de invaso. Em um primeiro momento, o conceito de verificao e teste surgiu em produtos direcionados ao mercado de invasores potenciais e, por fim, deram origem a vrios produtos comerciais. O principal objetivo da verificao era identificar o maior nmero possvel de vulnerabilidades no sistema, simulando invases em vrios pontos diferentes. Embora a maioria dos produtos comerciais de verificao fizessem um trabalho confivel de identificao das vulnerabilidades e das medidas de segurana que podiam ser utilizadas para solucion-las, seus mecanismos de classificao no iam muito alm de graduaes relativamente grosseiras, como o tradicional sistema de prioridades: Alta, Mdia e Baixa. Para oferecer suporte deciso, estes sistemas de segunda gerao tambm raramente incluam recursos para simular diferentes cenrios de proteo e/ou realizar uma anlise de custo/benefcio das medidas de segurana propostas. O grande mrito das solues de segurana de rede de terceira gerao reunir todos os recursos j existentes em um nico recurso abrangente, orientado para gerenciamento, que permite tomar decises de segurana de forma racional, levando em considerao a misso geral, as metas e os objetivos comerciais da empresa. Sua principal meta tornar o gerenciamento de risco de segurana da rede parte integrante do conjunto de ferramentas bsicas da organizao para um gerenciamento 24 X 7 ou seja, disponibilidade da rede 24 horas dos 7 dias da semana, compatvel com as suas metas estratgicas. Em vez de ser uma atividade de escopo limitado ou um evento peridico, um gerenciamento de segurana realmente eficaz deve ser capaz de fornecer um contexto amplo para a aplicao mais apropriada de mtodos de verificao, testes e anlises, protees e outras medidas de segurana. Nos ltimos anos, as organizaes reguladoras e padronizadoras do setor de segurana tm dado nfase definio e implantao de sistemas de gerenciamento de risco abrangentes.

14 Considerando a organizao como um todo, o gerenciamento estruturado dos riscos deve invariavelmente comear com a compreenso da importncia e do valor relativos de todas as informaes. Apenas atravs da identificao, da catalogao e anlise iniciais dos ativos de informao ser possvel avaliar os impactos de sua possvel destruio ou comprometimento. O inventrio de informaes (ativos) oferece um contexto apropriado para julgar os riscos reais decorrentes das possveis vulnerabilidades e ameaas a estes ativos. Como as organizaes, tanto pblicas quanto privadas, perceberam que se tornaram vulnerveis, procuraram implementar metodologias e ferramentas de segurana, sendo o grande desafio desta questo a criao de um ambiente controlado e confivel, mas que no retirasse do usurio a agilidade necessria ao bom funcionamento do negcio. A tendncia de negligncia quanto aos procedimentos de segurana at que ocorra algum problema grave muito comum nos ambientes denominados cliente-servidor. Para evitar que isto ocorra, devem-se adotar polticas de segurana que determinem quais itens devem merecer ateno e com quais custos.

15 2. OBJETIVOS 2.1. OBJETIVO GERAL Este trabalho tem por objetivo apresentar uma proposta de poltica de segurana baseada na norma ISO/IEC 17799:2000 s Secretarias de Receita. Atualmente, as grandes organizaes e instituies esto cada vez mais dependentes de novas tecnologias, sendo quase impossvel manter seus negcios sem o auxlio do computador. Cada vez mais estas organizaes, seus sistemas de informao e redes de computadores so colocados a prova por diversos tipos de ameaas segurana da informao, incluindo fraudes eletrnicas, espionagem, sabotagem, vandalismo, fogo e inundao. A realidade das Secretarias de Receita ainda baseia-se em Sistemas Corporativos voltados para ambientes fechados (mainframe). A excessiva demanda da comunidade por acesso s informaes residentes e tratadas nestas instituies levou seus administradores a buscarem novos meios para dar vazo a esta demanda. Considerando que os dados e informaes residentes nas Secretarias de Receita podem refletir a vida financeira e contbil de pessoas e empresas e so legalmente protegidas pelo Cdigo Tributrio Nacional - CTN, que garante o sigilo fiscal, surge a necessidade de se implementarem mecanismos eficientes que possam garantir a integridade, confidencialidade, autenticidade, disponibilidade da informao e no repdio dos dados. 2.2. OBJETIVOS ESPECFICOS: Levantar as necessidades das Secretarias de Receita quanto segurana das informaes em seu poder; Apresentar os riscos, ameaas e vulnerabilidades que podem afetar a segurana da informao e as contramedidas pare prevenir ataques; Conscientizar os funcionrios e prestadores de servio quanto segurana das informaes, apresentando controles fsicos, lgicos e pessoais; Desenvolver controles de segurana fsica, lgica e pessoal;

16 Apresentar uma proposta de poltica de segurana alta administrao das Secretarias de Receita buscando comprometimento e apoio para implementao da mesma; Propor uma metodologia de auditoria como elemento de apoio administrao de segurana da informao; Elaborar um plano de contingncia visando garantir a continuidade do negcio das Secretarias de Receita.

17 3. FUNDAMENTAO TERICA A fim de facilitar o entendimento geral, sero descritos a seguir alguns conceitos bsicos importantes para a discusso do tema. 3.1. SEGURANA DA INFORMAO A segurana da informao de uma instituio passa primeiramente por uma relao considervel de normas que regem os comportamentos de seu pblico interno e suas prprias atitudes em relao aos clientes externos, alm disso, consideram-se as ferramentas de hardware e software utilizadas e o domnio da aplicabilidade das mesmas pela organizao. A segurana da informao consiste na preservao dos seguintes atributos: Confidencialidade - garantia de que a informao acessvel somente por pessoas autorizadas. Integridade - garantia de que as informaes e mtodos de processamento somente sejam alterados atravs de aes planejadas e autorizadas. Disponibilidade - garantia de que os usurios autorizados tenham acesso informao e aos ativos correspondentes quando necessrio (ISO/IEC 17799:2000). Conforme o caso, tambm podem ser fundamentais para garantir a segurana da informao: Autenticao - garantia da identidade da origem e do destinatrio de uma informao. No repdio - garantia de que o emissor no negar um procedimento por ele realizado. 3.2. PROJETO DE SEGURANA A estratgia de segurana da informao de uma empresa exige a elaborao de um projeto de segurana que descreva todos os aspectos da segurana da informao na empresa. Um desses aspectos consiste na elaborao de um plano de segurana. (FRASER, 1997; OPPENHEIMER, 1999).

18 O projeto de segurana, segundo Oppenheimer (1999), envolve vrias etapas de trabalho: Identificao dos ativos da empresa em termos de informaes; Anlise dos riscos de segurana; Anlise dos requisitos de segurana e compromissos; Desenvolvimento de um plano de segurana; Definio de uma norma de segurana; Desenvolvimento de procedimentos para implantar a norma e uma estratgia de implementao; e Implementao, gerenciamento e auditoria dos procedimentos de segurana.

3.3. PLANO DE SEGURANA Plano de Segurana um documento de alto nvel que prope o que uma

organizao deve fazer para satisfazer os requisitos de segurana, contendo a relao dos servios de TI disponibilizados, quais reas da empresa disponibilizam os servios, quem ter acesso aos servios, a descrio detalhada de sua implementao, dos procedimentos de controle dos ambientes, incidentes e contingncias. O plano especifica o tempo, as pessoas e outros recursos que sero necessrios para desenvolver uma norma de segurana e alcanar a implementao tcnica da norma. O plano deve estar baseado na anlise de ativos de redes e riscos. Deve fazer referncia topologia de rede e incluir uma lista de servios de rede que sero fornecidos, como por exemplo, FTP, Web, correio eletrnico e outros. Esta lista deve especificar quem fornecer os servios, quem ter acesso aos servios, o modo como o acesso ser fornecido e quem ir administrar os servios. Um dos aspectos mais importantes do plano de segurana uma especificao das pessoas que devem estar envolvidas na implementao da segurana de rede: Sero contratados administradores de segurana especializados? Como os usurios finais e seus gerentes estaro envolvidos? Como os usurios finais, gerentes e pessoal tcnico sero treinados sobre normas e procedimentos de segurana? Para ser til, um plano de segurana precisa ter o apoio de todos os nveis de funcionrios dentro da organizao. muito importante que a administrao corporativa

19 apoie plenamente o plano de segurana. O pessoal tcnico da rede e de locais remotos deve se envolver no plano, da mesma forma que os usurios finais (Oppenheimer, 1999). 3.4. NORMA DE SEGURANA Norma de segurana uma declarao formal das regras s quais as pessoas que tm um determinado acesso tecnologia e aos ativos de informaes de uma organizao devem obedecer. (RFC 2196, The Site Security Handbook). Pode-se definir ainda, norma de segurana como sendo um estatuto no qual esto transcritas regras de nvel intermedirio, ou seja, entre o nvel estratgico e o de descrio de procedimentos, cujo cumprimento visa garantir a segurana das informaes e recursos de uma instituio, dentro de um segmento particular do ambiente desta corporao. A norma de segurana informa aos usurios, gerentes e ao pessoal tcnico de suas obrigaes para proteger os ativos de tecnologia e informaes. A norma deve especificar os mecanismos pelos quais estas obrigaes podem ser cumpridas. Da mesma forma que o plano, a norma de segurana deve ter o comprometimento de funcionrios, gerentes, executivos e pessoal tcnico. O desenvolvimento de uma norma de segurana trabalho dos administradores de redes. Uma vez desenvolvida, a norma de segurana deve ser explicada a todos pela gerncia superior. Muitas empresas exigem que o pessoal assine uma declarao indicando que leu, compreendeu e concorda em cumprir as normas. A norma de segurana um documento vivo. Pelo fato de as organizaes mudarem continuamente, as normas de segurana devem ser atualizadas com regularidade a fim de refletirem novas orientaes comerciais e mudanas tecnolgicas (Oppenheimer, 1999). 3.5. PROCEDIMENTOS DE SEGURANA Os procedimentos de segurana implementam normas de segurana, definem processos de configurao, login, auditoria e configurao. Podem-se definir procedimentos de segurana como sendo um estatuto no qual esto transcritas regras de nvel operacional, ou seja, a nvel de descrio de execuo de

20 aes, cujo cumprimento visa garantir a segurana das informaes de uma instituio, dentro de um segmento particular do ambiente da corporao. Devem ser escritos procedimentos de segurana para usurios finais, administradores de redes e administradores de segurana. A divulgao deve ser restrita aos funcionrios diretamente envolvidos. Os procedimentos de segurana devem especificar como controlar incidentes (quer dizer, o que fazer e quem contatar se uma intromisso for detectada), fazer auditoria e desenvolver o plano de contingncia com objetivo de manter o negcio da Secretaria de Receita sempre ativo. Os procedimentos de segurana podem ser comunicados aos usurios e administradores em turmas de treinamento lideradas por instrutores qualificados. 3.6. ARQUITETURA DE SEGURANA Com base na norma de segurana, criado um documento denominado poltica de segurana para ser divulgado em toda empresa. Para implementar a poltica de segurana deve ser criada uma arquitetura de segurana que consiste na aplicao de todos os controles fsicos, lgicos, tcnicos e administrativos necessrios para a garantia da segurana da informao (ROBERTI, 2001). Com base nessa arquitetura, so criados o plano de contingncia e o processo de auditoria. Uma arquitetura de segurana representa um elenco de recomendaes que define os princpios e fundamentos que devem ser observados na implementao de um ambiente considerado seguro em relao aos riscos, impactos e custos ao qual ele est submetido. Em um ambiente como o da Secretaria de Receita, baseado na arquitetura clienteservidor, deve existir uma arquitetura de segurana com potencial necessrio para atingir todas as metas e objetivos de segurana desejveis sem comprometer a capacidade de adaptabilidade e a independncia dos recursos de TI (Tecnologia da Informao). Para tanto, a arquitetura de segurana recomendada deve fornecer as bases para os aspectos de segurana dos seguintes elementos: aplicaes, dados, comunicao de dados e gerncia de sistemas e rede. Uma arquitetura de segurana deve levar em considerao trs elementos bsicos: pessoas, o modelo de segurana e a juno de padres e tecnologias.

21 importante salientar que a arquitetura de segurana proposta deve conduzir a implementaes que sejam financeiramente possveis para a organizao. Para tanto, a arquitetura deve possuir as seguintes qualidades: Ser independente de plataforma operacional, aplicao de rede; Ser alavancada por tecnologias de segurana amadurecidas, por exemplo: criptografias e carto inteligente; Estar em conformidade com padres infacto, como por exemplo a norma ISO/IEC 17799:2000 e CobiT; Definir relacionamentos entre os componentes de segurana: autenticao e permisso de acesso, por exemplo; Ter performance e disponibilidade dos mecanismos de segurana; Possuir um modo consistente de gerenciamento; e Obter a conscientizao de usurios finais.

Ambientes de TI como os da Secretaria de Receita geralmente so dinmicos e sujeitos a muitas presses da sociedade. Uma arquitetura de segurana eficiente e eficaz deve levar em conta o trinmio: pessoas, padres e tecnologias usadas em um Modelo de Segurana. 3.7. MODELO DE SEGURANA O conjunto de todos os controles, procedimentos e mecanismos de segurana, denomina-se modelo de segurana que, se corretamente implementado, pode reduzir o custo do desenvolvimento e do gerenciamento da segurana. Um modelo de segurana deve prover a habilidade de proteger adequadamente a informao. Em um ambiente confivel, antes de qualquer entidade (usurios, funcionrios, programas) confiar em um sistema, necessrio saber quais recursos podem ser utilizados com segurana e quais informaes so confidenciais. Um modelo de segurana enderea os requisitos tcnicos de segurana exigidos conforme figura a seguir.

22 MODELO DE SEGURANA AMBIENTE CONFIVEL SEGURANA

INTEGRIDADE AUTORIZAO
CONFIDENCIALIDADE AUTENTICAO

PERFORMANC
DISPONIBILIDADE

CONTROLES ACESSO FSICO ACESSO REDE GERNCIA

MONITORAO E DETECO

RECUPERAO CONTINUIDADE DURABILIDADE CONSISTNCIA

GERNCIA DE MUDANAS

NO REPDIO

AUDITORIA

FUNDAO
POLTICAS DE SEGURANA
PRINCPIOS DE SEGURANA PADRES E CRITRIOS DE SEGURANA

EDUCAO

Figura 1 Requisitos do Modelo de Segurana. Fonte: Arquitetura de Segurana desenvolvido pela HP para o Tribunal Superior Eleitoral

A fundao consiste de declaraes claras e concisas, polticas e procedimentos de segurana da instituio que serviro como guia para a gerncia de riscos, proteo de dados e recursos, recuperao e para assegurar conformidade s leis e regulamentos aplicveis arquitetura de segurana. Os princpios de segurana so declaraes particulares que definem o que a segurana significa para a organizao e como ser administrada. atravs dos princpios que a Arquitetura de Segurana ser definida. Os princpios indicam itens como identificao, requisitos de autenticao e os controles. Entende-se por ambiente confivel a combinao de segurana, performance e disponibilidade dentro dos limites aceitveis e definidos nos princpios e na poltica de segurana. Os controles referem-se a gerncia e mensurao das operaes sobre sistemas e dados no ambiente. 3.8. HISTRICO DAS NORMAS DE PADRONIZAO DE SEGURANA Nas ltimas duas dcadas, pases como Estados Unidos, Frana, Alemanha, Holanda, Reino Unido e Canad tm se empenhado no desenvolvimento de Padres de

23 Segurana para Tecnologia da Informao. A enorme disponibilidade de produtos no mercado internacional gerou a necessidade de padres que pudessem ter ampla aceitao e aplicabilidade no mercado. Como o comrcio no poderia dispor e avaliar produtos em mltiplos pases com mltiplos padres, tornou-se necessria uma normatizao e posteriormente uma harmonizao. O Departamento de Defesa dos Estados Unidos lanou em 1983 o Trusted Computer System Evaluation Criteria - (TCSEC), conhecido como o Orange Book, cuja verso final saiu em 1985. O Orange Book (TCSEC) define a Poltica de Segurana e conceitos de responsabilidade, garantia e documentao. Este ltimo descreve o tipo, a evidncia escrita na forma de guias de usurio, testes, manuais, e modelo de documentao requerido a cada tipo de evento. Os sistemas de administrao de redes, banco de dados e perifricos no foram suficientemente conceituados por esta norma. A primeira tentativa de desenvolver um critrio padro foi o Information Technology Security Evaluation Criteria - (ITSEC), lanado em junho de 1991, elaborado pela Frana, Alemanha, Holanda e Reino Unido e adotado pelos pases membros do Mercado Comum Europeu. O ITSEC faz a primeira tentativa de desenvolver critrios padronizados para a Comunidade Europia. Esta norma europia introduz o conceito de separar as exigncias funcionais e as exigncias de garantia, e permite a seleo arbitrria da segurana funcional a nveis de graus de garantia. A norma canadense, a Canadian Trusted Computer Product Evaluation Criteria (CTCPEC), passou a ser o critrio de normatizao do Canad (janeiro de 1993, ltima edio). A canadense, CTCPEC, alarga o horizonte para incluir sistemas monolticos, sistemas multi-processados, bancos de dados, subsistemas, sistemas distribudos, sistemas de rede, e outros. Os critrios divididos anteriormente em funcionalidade e confiabilidade passam a serem divididos na CTCPEC, em quatro critrios: da garantia em TI. O Federal Criteria for Information Technology Security foi elaborado em conjunto pelo National Institute of Standards and Technology (NIST) e o National Security Agency (NSA) dos Estados Unidos, Vol. 1 em dezembro de 1992 e vol. 2 em janeiro de 1993. a confidencialidade, a integridade, a disponibilidade e a legitimidade, estes critrios so definidos como critrios

24 O Federal Criteria tem como caracterstica a especificao, o desenvolvimento e a avaliao de produtos de segurana para TI. A chave deste esforo o avano do estado da arte da segurana em TI e a harmonizao de esforos internacionais. Em Janeiro de 1996, os Estados Unidos, Reino Unido, Alemanha, Frana, Canad e Holanda publicaram uma avaliao de padres desenvolvida em conjunto para um mercado multinacional. Este padro conhecido como Common Criteria for Information Technology Security Evaluation - CCITSE (Critrio Comum para Avaliao de Segurana da Tecnologia da Informao), geralmente referido apenas como Common Criteria (CC). O Common Criteria pode ser usado por consumidores para ajud-los a decidir quais produtos de segurana comprar baseados nas classificaes do CC, e tambm para publicar suas exigncias de segurana de forma que os vendedores possam desenvolver produtos que estejam de acordo com as mesmas. O CC pode ser til para os desenvolvedores auxiliando na escolha de quais requisitos de segurana vo incluir em seus produtos, para desenvolver e criar produtos de forma a provar aos avaliadores que tais produtos preenchem os requisitos, e para determinar suas responsabilidades em apoiar e avaliar seus produtos. O CC tambm serve para auxiliar os avaliadores a julgar se um produto preenche ou no os requisitos de segurana e para fornecer dados quando estiver formando mtodos especficos de avaliao. O Common Criteria um esforo multinacional de escrever um sucessor para o TCSEC e ITSEC, que combina os melhores aspectos de ambos. Uma verso inicial (v. 1.0) foi publicada em Janeiro de 1996, a verso 2.0 em maio de 1998 e a ltima verso em agosto de 1999. O modelo de referncia OSI/ISO/IEC inicialmente foi elaborado para permitir a interconexo entre sistemas baseados em diferentes plataformas. O modelo bsico foi ao longo do tempo sendo complementado com adio de outros documentos, dentre eles o ISO/IEC 7498-2 que trata dos aspectos relativos segurana e sua forma de aplicao em circunstncias onde necessrio proteger os dados, a comunicao, os recursos e os usurios do ambiente. A arquitetura de segurana ISO estabelece, em conjunto com o esquema bsico definido no modelo de referncia, orientaes e restries para o aperfeioamento dos padres existentes alm de guiar o desenvolvimento de novos padres, visando permitir comunicaes cada vez mais seguras e prover uma abordagem consistente para segurana em ambiente ISO.

25 A arquitetura de segurana apresentada no modelo ISO/IEC 7498-2 possui os seguintes objetivos: Descrever os servios de segurana e os mecanismos a eles relacionados e Definir a posio dos servios de segurana e dos mecanismos associados no modelo de referncia. A arquitetura ISO trata exclusivamente dos aspectos de segurana relacionados comunicao entre os sistemas finais no abrangendo medidas de segurana que devem ser adotadas nos sistemas complementares necessrias para garantir a proteo completa dos recursos e dados do sistema. A origem da ISO/IEC 17799:2000 remonta aos dias do Centro Comercial de Segurana na Computao (CCSC) do Departamento de Comrcio Britnico (DTI). Fundado em maio de 1987, o CCSC tinha duas principais tarefas: a primeira era auxiliar os vendedores de produtos de segurana de TI a estabelecer um conjunto de critrios de avaliao de segurana reconhecido internacionalmente, bem como um esquema associado de avaliao e certificao; a segunda tarefa era ajudar os usurios a produzirem um cdigo de boas prticas de segurana que resultou em um Cdigo de Prticas para Usurios, publicado em 1989. O National Computing Center (NCC) e posteriormente um consrcio de usurios, principalmente da Indstria Britnica, deram continuidade ao seu desenvolvimento para garantir que o Cdigo era tanto significativo quanto prtico do ponto de vista dos usurios. O resultado final foi publicado, a princpio, como um documento de orientao dos Padres Britnicos, o PD 0003. Consistia em um cdigo de prticas para gerenciamento de segurana da informao. Seguindo um perodo de mais consultas pblicas, foi posteriormente relanado como a British Standard BS7799:1995. Uma segunda parte, a BS 7799-2:1998 foi adicionada em fevereiro de 1998. Aps um perodo de extensivas revises e consultas pblicas que iniciou em novembro de 1997, a primeira reviso do padro, a BS7799:1999, foi publicada em abril de 1999. A parte 1 do padro foi proposta como um padro ISO em outubro de 1999 e aprovada por maioria em votao internacional em agosto de 2000. Em outubro de 2000, oito pequenas modificaes ao texto da BS foram aprovadas e o padro foi publicado como ISO/IEC 17799:2000 em 1 de dezembro de 2000. Neste nterim, o comit responsvel pelo desenvolvimento da BS 7799 est se preparando para atualizar a parte 2 de forma a ser proposta como padro ISO. A ISO/IEC 17799:2000 tem como objetivo permitir que companhias que cumprem a norma demostrem publicamente que podem resguardar a confidencialidade, integridade a disponibilidade das informaes de seus clientes.

26 A ISO/IEC 17799:2000 fornece mais de 127 orientaes de segurana estruturadas em 10 ttulos principais para possibilitar aos leitores identificarem os controles de segurana apropriados para sua organizao ou reas de responsabilidade. Alm de fornecer controles detalhados de segurana para computadores e redes, a ISO/IEC 17799:2000 d orientaes sobre polticas de segurana, conscientizao sobre segurana para os funcionrios, plano de continuidade dos negcios e requisitos legais. 3.9. POLTICA DE SEGURANA A poltica de segurana tem por objetivo prover administrao uma direo e apoio para a segurana da informao. A administrao deve estabelecer uma poltica clara e demonstrar apoio e comprometimento com a segurana da informao atravs da emisso e manuteno de uma poltica de segurana da informao para toda a organizao (ISO/IEC 17799:2000). Uma poltica de segurana a expresso formal das regras pelas quais fornecido acesso aos recursos tecnolgicos da empresa. O principal propsito de uma poltica de segurana informar aos usurios, equipe e gerentes, as suas obrigaes para a proteo da tecnologia e do acesso informao. A poltica deve especificar os mecanismos atravs dos quais estes requisitos podem ser alcanados. Outro propsito oferecer um ponto de referncia a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos requisitos propostos. Portanto, uma tentativa de utilizar um conjunto de ferramentas de segurana na ausncia de pelo menos uma poltica de segurana implcita no faz sentido (RFC 2196). A poltica deve especificar as metas de segurana da organizao, onde as responsabilidades recaem, e qual o comprometimento da organizao com a segurana. Uma vez que a poltica um estatuto, necessrio que a sua elaborao, aprovao e aplicao sigam os ritos internos da instituio na qual ser aplicada. O carter estratgico de uma poltica de segurana deve garantir que a mesma aborde questes que so essenciais para a corporao como um todo. Cada regra da poltica serve como referncia bsica para a elaborao do conjunto de regras particulares e detalhadas que compem as normas e os procedimentos de segurana. Com o intuito de tornar a poltica de segurana um instrumento que viabilize a aplicao prtica e a manuteno de uma infra-estrutura de segurana para a instituio,

27 necessrio que a poltica seja desdobrada em estatutos mais detalhados. Estes estatutos podem ser referidos como polticas especficas, normas, regras complementares, ou controles. Outros nveis podem existir, tal qual numa hierarquia, sendo que o limite ser ditado pelas necessidades e convenincias da instituio para a qual so elaborados as regras de segurana. Cabe ressaltar que, quanto mais baixo o nvel hierrquico de um documento de segurana em relao poltica, mais detalhado e de carter operacional ser. importante lembrar que toda regra aplicada a uma instituio deve estar em consonncia com os objetivos fins da mesma. A segurana no um fim em si mesma, mas um meio para se chegar a um objetivo maior. A poltica de segurana como um elemento institucional da organizao possui um ciclo de vida indefinido e deve prever todos os mecanismos de defesa contra qualquer ameaa conforme estabelecido no estudo de custos x benefcios. Considerando a mutabilidade de tais elementos e dos prprios objetivos e metas da organizao, uma poltica s apresentar efetividade ao longo do tempo se sofrer constantes reavaliaes e atualizaes conforme o ciclo de etapas mostrado a seguir.

Implementao Auditoria

Administrao
Figura 2 Processo de uma Poltica de Segurana

Diretrizes e normas

3.9.1. Viso Geral de uma Poltica de Segurana A elaborao de um programa sistematizado de segurana de informaes parte da anlise das seguintes indagaes:

28 O que se deseja proteger? Contra que ou quem? Quais so as ameaas mais provveis? Qual a importncia de cada recurso? Qual o grau de proteo desejado? Quanto tempo, recursos financeiros e humanos se pretendem gastar para atingir os objetivos de segurana desejados? Qual a expectativa dos usurios e clientes em relao segurana das informaes? Quais as conseqncias no caso dos recursos serem corrompidos ou roubados? Obtidas as respostas s indagaes acima, deve-se atentar para os seguintes princpios que norteiam um bom programa de segurana de informao: Confidencialidade garantia contra o acesso de qualquer pessoa/entidade no explicitamente autorizada; Integridade garantia de que os dados no sejam apagados ou de alguma forma alterados sem a permisso competente; Disponibilidade garantia de que os servios e os dados estejam disponveis no momento em que so requisitados por pessoa ou entidade autorizada.; preciso conhecer os riscos, saber quais as conseqncias da falta de segurana, identificar os pontos vulnerveis e determinar uma soluo adequada para a organizao. O primeiro passo para isto avaliar o valor do bem ou recurso a ser protegido e sua importncia para a organizao, o que ajuda a definir quanto vale a pena gastar com proteo. Custo neste contexto significa incluir perdas expressas em moeda corrente real, reputao, confiana e outras medidas menos bvias. Uma das razes mais importantes de criar uma poltica de segurana da informao assegurar que esforos despendidos em segurana rendero benefcios efetivos. Embora isto possa parecer bvio, possvel se enganar sobre onde os esforos so necessrios. Como por exemplo, existe muita publicidade sobre intrusos externos em sistemas de computadores, mas a grande parte das pesquisas sobre segurana mostram que, para a maioria das organizaes, a maior perda ocorre com intrusos internos. A anlise de risco envolve determinar o que se deve proteger, do que se deve proteger, e como proteger. Este o processo de examinar todos os riscos e ordenar esses

29 riscos por nvel de severidade. Este processo envolve a tomada de deciso sobre o custo benefcio do que se deve proteger. 3.9.2. Identificao dos Recursos O primeiro passo de uma anlise de risco a identificao de todos os elementos que necessitam de proteo. Alguns so bvios, tais como informaes proprietrias, propriedade intelectual e todos os vrios componentes de hardware; mas, alguns so negligenciados, tal como as pessoas que de fato usam os sistemas. O ponto de partida a lista de todos as partes que podem ser afetadas por um problema de segurana. Conforme sugerido por Pfleeger (Pfleeger, 1989), a seguir est uma lista de categorias: Hardware: CPUs, boards, teclados, terminais, estaes de trabalho, computadores pessoais, impressoras, discos, drives, linhas de comunicao, servidores de terminais, roteadores; Software: programas fonte, programas objeto, utilitrios, programas de diagnstico, sistemas operacionais e programas de comunicao; Dados: durante execuo, armazenados on-line, arquivados off-line, backups, logs de auditoria, bancos de dados e mdia de comunicao; Pessoas: usurios, administradores e suporte de hardware; Documentao: administrativos; e Materiais: papel, formulrios, fitas e mdia magnticas. programas, hardware, sistemas, local, procedimentos

3.9.3. Consideraes Importantes O domnio das ferramentas de proteo disponveis no mercado aliado a uma consistente anlise dos riscos constituem a base para a formao de um slido programa destinado segurana institucional dos dados de uma organizao e ir determinar quo segura a rede de comunicao e os dados nela residentes. Uma poltica de segurana no deve prejudicar os processos de produo da organizao, sendo assim, deve preocupar-se com as funcionalidades que ir manter e qual ser a facilidade de utiliz-las. No entanto, no possvel tomar boas decises sobre segurana, sem antes determinar quais so as suas metas de segurana.

30 Uma poltica de segurana deve nortear seus objetivos a partir das seguintes consideraes: Servios oferecidos versus segurana fornecida - Cada servio oferecido para os usurios carrega seu prprio risco de segurana. Para alguns servios, o risco superior ao benefcio do mesmo, e o administrador deve optar por eliminar o servio ao invs de tentar torn-lo menos inseguro; Facilidade de uso versus segurana - O sistema mais fcil de usar deveria permitir acesso a qualquer usurio e no exigir senha, isto , no haveria segurana. Solicitar senhas torna o sistema um pouco menos conveniente, mas mais seguro. Requerer senhas one-time geradas por dispositivos, torna o sistema ainda mais difcil de utilizar, mas bastante mais seguro; e Custo da segurana versus o risco da perda - H muitos custos diferentes para segurana: monetrio (o custo da aquisio de hardware e software como Firewalls, e geradores de senha one-time), performance (tempo de cifragem e decifragem), e facilidade de uso. H tambm muitos nveis de risco: perda de privacidade (a leitura de uma informao por indivduos no autorizados), perda de dados (corrupo ou deleo de informaes), e a perda de servios (ocupar todo o espao disponvel em disco, impossibilidade de acesso rede). Cada tipo de custo deve ser contrabalanado ao tipo de perda. Os objetivos, metas e regras devem ser comunicados indistintamente a todos os usurios, pessoal operacional, e gerentes atravs de um conjunto de regras de segurana, chamado de Poltica de Segurana. 3.9.4. Premissas Bsicas Uma poltica de segurana deve ser elaborada visando toda a organizao a que se prestar e suas concepes institucionais, desta forma, necessita observar alguns princpios elementares elencados a seguir: Apoiar-se sempre nos objetivos da organizao e nunca em ferramentas e plataformas; Descrever o programa geral de segurana da rede, dados, ambientes e pessoas; Demonstrar os riscos e ameaas que est combatendo e as protees propostas; Definir responsabilidades para implementao e manuteno de cada proteo;

31 Definir normas e padres comportamentais para usurios, para que o documento seja utilizado como prova se ocorrer alguma violao; e Definir sanes e penalidades.

3.9.5. Contedo Essencial Como instrumento de carter institucional, uma poltica de segurana deve apresentar em seu contexto, no mnimo, os seguintes elementos: Justificativa da importncia da adoo dos procedimentos de segurana explicando-os junto aos usurios para que o entendimento dos mesmos leve ao comprometimento com todas as aes de segurana; Identificao precisa de quem desenvolveu as orientaes, quem as aprovou, quem detm privilgios e determina autorizaes, e quem afetado pelas orientaes; Descrio dos procedimentos para fornecimento e revogao de privilgios, informao de violao de segurana; Determinao da gerncia especfica e responsabilidades dos envolvidos no controle e manuseio do ambiente operacional; Identificao dos recursos que se quer proteger e que software so permitidos em quais locais; e Descrio dos procedimentos para os casos de exceo.

3.9.6. Principais Atores Para que uma poltica de segurana se torne apropriada e efetiva, ela deve ter a aceitao e o suporte de todos os nveis de empregados dentro da organizao. especialmente importante que a gerncia corporativa suporte de forma completa o processo da poltica de segurana, caso contrrio haver pouca chance que ela tenha o impacto desejado. A seguinte lista de indivduos deve estar envolvida na criao e reviso dos documentos da poltica de segurana: Representante da administrao superior da organizao; Administrador de segurana do site; Suporte tcnico;

32 Desenvolvedores de softwares; Administradores de grandes grupos de usurios dentro da organizao; Representantes de todos os grupos de usurios afetados pela poltica de segurana; e Help-Desk. Vrios fatores podem trazer efetividade para uma poltica de segurana, dentre outros, destacam-se: Ser implementvel por meio de procedimentos administrativos anteriormente institudos; Possuir regras de uso aceitveis; Ser implementada por meio de ferramentas de segurana quando apropriado, e aplicar sanes onde a preveno efetiva no for tecnicamente possvel; Possuir definies claras das reas de responsabilidade para os usurios, administradores e gerentes; Possuir guias para a compra de tecnologia computacional que especifiquem os requisitos ou caractersticas que os produtos devem possuir; Conter a indicao de uma poltica de privacidade que defina expectativas razoveis de privacidade relacionadas a aspectos como a monitorao de correio eletrnico, logs de atividades, e acesso aos arquivos dos usurios; Discriminar uma poltica de acesso que defina os direitos e os privilgios para proteger a organizao de danos, atravs da especificao de linhas de conduta dos usurios, pessoal e gerentes. Ela deve oferecer linhas de condutas para conexes externas, comunicao de dados, conexo de dispositivos a uma rede, adio de novos softwares, entre outros. Tambm deve especificar quaisquer mensagens de notificao requeridas (por exemplo, mensagens de conexo devem oferecer aviso sobre o uso autorizado e monitorao de linha, e no simplesmente welcome); Definir uma poltica de contabilidade que indique as responsabilidades dos usurios. Deve especificar a capacidade de auditoria, e oferecer a conduta no caso de incidentes (por exemplo, o que fazer e a quem contatar se for detectada uma possvel intromisso);

33 Viabilizar uma poltica de autenticao que estabelea confiana por meio de uma poltica efetiva de senhas, atravs da linha de conduta para autenticao de acessos remotos e o uso de dispositivos de autenticao; Possuir um documento de disponibilidade que defina as expectativas dos usurios para a disponibilidade de recursos. Ele deve enderear aspectos como redundncia e recuperao, bem como especificar horrios de operao e de manuteno. Ele tambm deve incluir informaes para contato para relatar falhas de sistema e de rede; Definir uma tecnologia de informao e poltica de manuteno de rede que descreva como, tanto o pessoal de manuteno interno como externo, devem manipular e acessar a tecnologia. Um tpico importante a ser tratado aqui como a manuteno remota permitida e como tal acesso controlado. Outra rea para considerar a terceirizao e como ela gerenciada; Definir um relatrio de violaes que indique quais os tipos de violaes devem ser relatados e a quem estes relatos devem ser feitos. Uma atmosfera de no ameaa e a possibilidade de denncias annimas ir resultar em uma grande probabilidade de uma violao ser relatada; e Oferecer aos usurios informaes sobre como agir na ocorrncia de qualquer tipo de violao. Pode haver requisitos regulatrios que afetem alguns aspectos de uma poltica de segurana tal como a monitorao. Os criadores da poltica devem considerar a busca de assistncia legal na criao da mesma. No mnimo, a poltica deve ser revisada por um conselho legalmente institudo para tal fim. Uma vez estabelecida, a poltica deve ser claramente comunicada aos usurios, pessoal e gerentes. Deve-se criar um documento que os usurios assinem, afirmando que leram, entenderam e concordaram com a poltica estabelecida (vide Anexo II). Esta uma parte importante do processo. Finalmente sua poltica deve ser revisada regularmente para verificar se est suportando com sucesso suas necessidades de segurana. 3.9.7. Flexibilidade No intuito de tornar a poltica vivel a longo prazo, necessria bastante flexibilidade baseada no conceito de segurana arquitetural. Uma poltica deve ser

34 largamente independente de hardware e software especficos. Os mecanismos para a atualizao da poltica devem estar claros. Isto inclui o processo e as pessoas envolvidas. Tambm importante reconhecer que h expectativas para cada regra. Sempre que possvel a poltica deve expressar quais expectativas foram determinadas para a sua existncia. Por exemplo, sob que condies um administrador de sistema tem direito a pesquisar nos arquivos do usurio. Tambm pode haver casos em que mltiplos usurios tero acesso mesma userid. Por exemplo, em sistemas com um usurio root, mltiplos administradores de sistema talvez conheam a senha e utilizem a conta. 3.9.8. Classificao das Informaes Segundo Claudia Dias (Dias, 2000), diferentes tipos de informao devem ser protegidos de diferentes maneiras. Por isso a classificao das informaes um dos primeiros passos para o estabelecimento de uma poltica de segurana de informaes. Um vez classificada a informao, a poltica pode definir como trat-la de acordo com sua classe, escolhendo mecanismos de segurana mais adequados. A classificao mais comum de informaes aquela que as divide em 04 nveis: 1) Pblicas ou de uso irrestrito: as informaes e os sistemas assim classificados podem ser divulgados a qualquer pessoa sem que haja implicaes para a instituio. Exemplo: servios de informao ao pblico em geral, informaes divulgadas imprensa ou pela internet 2) Internas ou de uso interno: as informaes e os sistemas assim classificados no devem sair do mbito da instituio. Porm, se isto ocorrer, as conseqncias no sero crticas. Exemplo: Servios de informao interna ou documentos de trabalho corriqueiros que s interessam aos funcionrios. 3) Confidenciais: informaes e sistemas tratados como confidenciais dentro da instituio e protegidos contra o acesso externo. O acesso a estes sistemas e informaes feito de acordo com sua estrita necessidade, isto , os usurios s podem acess-los se estes forem fundamentais para o desempenho satisfatrio de suas funes na instituio. O acesso no autorizado a esses dados e sistemas pode comprometer o funcionamento da instituio, causar danos financeiros ou perdas de fatias do mercado para o concorrente. Exemplo: Dados pessoais de clientes e funcionrios, senhas, informaes sobre vulnerabilidades de segurana dos sistemas institucionais, contratos , balanos entre outros.

35 4) Secretas: o acesso interno ou externo de pessoas no autorizadas a este tipo de informao extremamente crtico para a instituio. imprescindvel que o nmero de pessoas autorizadas seja muito restrito e o controle sobre o uso dessas informaes seja total. Exemplo: Informaes dos contribuintes, declaraes de imposto de renda. 3.9.9. Anlise de Riscos Anlise de riscos a anlise das ameaas, impactos e vulnerabilidades das informaes e das instituies de processamento das mesmas e da probabilidade de sua ocorrncia. O gerenciamento de risco o processo de identificao, controle e minimizao ou eliminao dos riscos de segurana que podem afetar os sistemas de informao a um custo aceitvel (ISO/IEC 17799:2000). Muitas vezes o termo risco utilizado como sinnimo de ameaa ou da probabilidade de uma ameaa ocorrer. Na verdade, risco uma combinao de componentes, tais como ameaas, vulnerabilidades e impactos em um determinado ambiente, de forma a proporcionar a adoo de medidas apropriadas tanto s necessidades de negcio da instituio ao proteger seus recursos de informao, como aos usurios que precisam utilizar esses recursos, levando em considerao justificativas de custos, nvel de proteo e facilidade de uso. A anlise de risco o ponto chave da poltica de segurana englobando tanto a anlise de ameaas e vulnerabilidades quanto a anlise de impactos, a qual identifica os componentes crticos e o custo potencial aos usurios do sistema. Para tomar as devidas precaues, preciso inicialmente identificar as ameaas e os impactos, determinar a probabilidade de uma ameaa se concretizar e entender os riscos potenciais, classificando-os por nvel de importncia e severidade da perda, e os custos envolvidos na sua preveno ou recuperao. Se combater uma ameaa for mais caro do que seu dano potencial, talvez no seja aconselhvel tomar quaisquer medidas preventivas neste sentido. Os riscos podem apenas ser reduzidos, j que impossvel eliminar todos. A quebra de segurana sempre poder ocorrer. Conhecer com antecedncia as ameaas aos recursos informacionais e seus impactos pode resultar em medidas efetivas para reduzir as ameaas, as vulnerabilidades e conseqentemente os impactos.

36

3.9.9.1. Riscos Externos Relacionados a seguir esto alguns tipos de riscos externos aos quais freqentemente as organizaes esto sujeitas: Vrus, Worms e Trojans Segundo o CSI/FBI Computer Crime and Security Survey, os vrus esto em primeiro lugar entre as principais ameaas segurana da informao no ano de 2001. Os vrus podem ser inofensivos (apenas mostram uma mensagem ou tocam uma msica), ou nocivos apagando ou modificando arquivos do computador. Podem ser inseridos por hackers que entram no sistema e plantam o vrus, atravs de e-mails ou disquetes contaminados. Os cdigos de vrus procuram entre os arquivos dos usurios, programas executveis sobre os quais os usurios tm direito de escrita. Ele infecta o arquivo colocando nele parte de um cdigo. Quando um arquivo de programa est infectado com vrus executado e o vrus imediatamente assume o comando, encontrando e infectando outros programas e arquivos. A seguir esto algumas caractersticas de um vrus: Consegue se replicar; Precisa de um programa hospedeiro portador; ativado por uma ao externa; e Sua habilidade de replicao limitada aos sistema virtual.

Na mesma categoria dos vrus, esto os warms, que so programas projetados para replicao e possuem as seguintes caractersticas, algumas das quais os diferenciam dos vrus. Eles se replicam, assim como os vrus; So entidades autnomas, no necessitam se atracar a um programa ou arquivo hospedeiro, ao contrrio dos vrus; Residem, circulam e se multiplicam em sistemas multi-tarefa; Para worms de rede, a replicao ocorre atravs dos links de comunicao.

37 O Trojan (Cavalos de Tria) um cdigo escondido em um programa, tal como um jogo ou uma tabela que tem a aparncia de seguro, mas possui efeitos escondidos. Quando o programa rodado, parece funcionar como o usurio esperava, mas na verdade est destruindo, danificando ou alterando informaes por trs. um programa em si mesmo e no requer um hospedeiro para carreg-lo. Geralmente so espalhados por e-mails. Intercesso Eavesdropping e Packet Sniffing - So intercesses de pacotes no trfego para leitura por programas de usurios no legtimos. O sniffer pode ser colocado na estao de trabalho conectada rede, bem como em roteadores ou gateways. Este mtodo utilizado para intercesso de logins e senhas de usurios, nmeros de cartes de crdito e direcionamento das trocas de e-mails estabelecendo as relaes entre indivduos e organizaes. Snoofing e Downloading - So intercesses do mesmo tipo do sniffer sem modificao do contedo dos pacotes embora a ao seja diferente, pois o atacante se apossa de documentos que trafegam na rede, fazendo download para a sua prpria mquina, interceptando e-mails e outros tipos de informaes. Modificao e Fabricao Tampering ou Data Diddling. Esta categoria trata da modificao no autorizada de dados. Com um software instalado em um sistema o atacante modifica ou apaga arquivos. Entre as vtimas esto bancos, autarquias fiscais, escolas, e outros tipos de bancos de dados. Na Web h inmeros exemplos de home pages invadidas para colocao de slogans ou marcas de presena. A utilizao de cavalos de Tria est dentro desta categoria para tomar controle remoto dos sistemas vtimas. Entre os programas mais comuns esto o Back Orifice e o NetBus, que so camuflados com esta finalidade Spoofing - Esta tcnica consiste em atuar em nome de usurio legtimo para realizar tarefas de tampering ou snoofing. Uma das formas pode ser o envio de e-mail falso em nome da vtima, invaso de outros computadores ou at um terceiro, ou ainda outros de forma que oculte sua identidade. Esta forma de looping torna muito difcil a sua identificao. A base desta atuao tomar posse do logins e senhas das vtimas.

38 Interrupo Jamming ou Flooding. So interrupes do funcionamento do sistema atravs da saturao de dados, pode ser espao de um disco ou envio de pacotes at a saturao do trfego da rede vtima impossibilitando-a de receber os pacotes legtimos. O atacante satura o sistema com mensagens de que querem estabelecer conexo atravs de vrios computadores com a vtima e ao invs de indicar a direo do IP dos emissores estas direes so falsas. O sistema responde as mensagens, mas como no recebe as respostas acumula o buffer com informaes em aberto, no dando lugar s conexes legtimas. Outros ataques comuns so ping da morte e a saturao de e-mails. Bombas Lgicas - O ataque consiste em programas sabotadores introduzidos nas mquinas das vtimas com intuito de destruir as informaes ou paralis-las. Engenharia Social Este mecanismo de recolhimento de informaes uma das formas mais perigosas e eficientes utilizada pelos hackers. Um bom exemplo de ataque de engenharia social o de ligar para um setor de informtica de uma corporao, dizendo ser um novo funcionrio de um determinado setor e dizer que precisa de um username e senha para acesso ao sistema. Muitas vezes o hacker, consegue atravs deste telefonema, o username e a senha necessrios para o incio de seu ataque. Uma forma mais fcil ainda de ligar para o setor de informtica dizendo ser o fulano de tal que esqueceu a senha, e gostaria que a senha fosse trocada. Claro que desta forma, o hacker tem que conhecer o nome de um usurio do sistema que esteja h muito tempo sem utiliz-lo. Variando muito de organizao para organizao, a obteno de informaes atravs de engenharia social ainda utilizada com muito sucesso em diversas organizaes e seu sucesso depende exclusivamente do conhecimento do pessoal em assuntos de redes e computadores. A melhor defesa contra este ataque o treinamento dos funcionrios e usurios de redes e computadores.

39 3.9.2.2. Riscos Internos Os riscos internos so decorrentes de duas fontes principais, desastres naturais e pessoas. No se podem prever ou evitar os desastres naturais tais como enchentes, raios, ou incndios, que podem causar srios danos aos sistemas de computao. Contudo, necessrio implementar defesas contra eles. A melhor ao a ser tomada ter em vigor um plano de recuperao de desastres. Os riscos pessoais podem ser causados por empregados insatisfeitos ou apenas descuidados. Os empregados insatisfeitos podem tentar sabotar o sistema de informao, das seguintes formas: Modificando ou apagando dados; Destruindo dados ou programas com bombas lgicas; Derrubando os sistemas; Destruindo os equipamentos ou instalaes; e Inserindo dados incorretamente.

Os empregados descuidados geralmente no tem inteno de causar nenhum dano ao sistema, mas podem apagar arquivos importantes, estragar um computador pelo mal uso, acessar informaes indevidas e entrar informaes incorretas no sistema. 3.9.10. Anlise de Ameaas Antes de decidir como proteger um sistema necessrio saber contra o que ele ser protegido. Segundo o 2001 CSI/FBI Computer Crime and Security Survey, as principais ameaas segurana da informao no ano de 2001 foram: 1o. lugar: Vrus de computador 2o. lugar: Uso interno indevido do acesso rede 3o. lugar: Roubos de notebooks 4o. lugar: Acesso interno no autorizado 5o. lugar: Penetrao externa no sistema.

40 Segundo Claudia Dias (Dias, 2000) a anlise das ameaas e vulnerabilidades do ambiente de informtica deve levar em considerao todos os eventos adversos que podem explorar as fragilidades de segurana desse ambiente e acarretar danos. Alguns conceitos importantes para se realizar uma anlise de ameaas so:

Recurso: componente de um sistema computacional, podendo ser recurso fsico, software, hardware ou informao; Vulnerabilidade: fraqueza ou deficincia que pode ser explorada por uma ameaa. Pode ser associada probabilidade da ameaa ocorrer; Ataque: ameaa concretizada; Impacto: conseqncia de uma vulnerabilidade do sistema ter sido explorada por uma ameaa. o resultado da concretizao de uma ameaa; Probabilidade: chance de uma ameaa atacar com sucesso o sistema computacional; Risco: medida de exposio a qual o sistema computacional est sujeito. Depende da probabilidade de uma ameaa atacar o sistema e do impacto resultante deste ataque.

Ameaa tudo aquilo que pode comprometer a segurana de um sistema, podendo ser acidental (falha de hardware, erros de programao, desastres naturais, erros do usurio, bugs de software) ou deliberada (roubos, espionagem, fraude, sabotagem, invaso de hackers, entre outros). Iindependentemente do tipo, as ameaas consideradas mais comuns em um ambiente informatizado so: Vazamento de informaes (voluntrio ou involuntrio) informaes desprotegidas ou reveladas a pessoas no autorizados; Violao de integridade - comprometimento da consistncia de dados; Indisponibilidade de servios de informtica - impedimento deliberado de acesso aos recursos computacionais por usurios no autorizados; e Acesso e uso no autorizado - um recurso computacional utilizado por pessoa no autorizada ou de forma no autorizada.

41 3.9.11. Auditoria A auditoria envolve o exame de recursos: lgicos, tecnolgicos, sistemas de aplicativos, fsicos e humanos em uma entidade a fim de garantir na informao: a eficincia, a efetividade, a confidencialidade, a integridade, a disponibilidade, a confiabilidade e o cumprimento dos objetivos estabelecidos. Isto a faz a principal auxiliar na administrao de um sistema de dados, dando-lhe suporte na monitorao, no planejamento e organizao, na aquisio e implementao e na distribuio e suporte (CobiT, 2000); pois a eficcia administrativa est no domnio destes conhecimentos continuamente adquiridos. No atual estgio do desenvolvimento da tecnologia de informao composta por pessoas, dados, mquinas e ambiente que alm de complexos, interagem entre si, o prprio processo se transforma antes mesmo de se ter um conhecimento profundo de suas etapas, aumentado assim sua vulnerabilidade. A prtica da auditoria o meio fundamental para acompanhar este dinamismo e reduzir os riscos nas etapas atuais e futuras. A metodologia de auditoria para que as Secretarias de Receita desenvolvam uma Governana de TI, a fim de alcanar os objetivos de receber e distribuir peclio s outras secretarias, ser baseado na tecnologia de auditoria CobiT, como meio de desenvolver este conceito. A Governana de TI se alicera em trs pilastras: o domnio, o recurso e a informao. O domnio a metodologia empregada. O recurso so os instrumentos disponveis governabilidade de TI. A informao o contedo que estabelece os critrios de qualidade para o negcio das Secretarias de Receita.

42

Figura 3 - Metodologia CobiT Dimensionamento da Auditoria: x=Domnio; y=Informao; t= Objetivo do negcio; z=Recursos de Tecnologia da Informao; x* y* z= Governana de TI (figura baseada na metodologia CobiT de Auditoria)

3.9.12. Plano de Contingncia Contingncia de segurana computacional um evento com potencial para interromper operaes computacionais, e consequentemente as misses crticas e funes dos negcios. Tais eventos podem ser uma queda de energia, falha de hardware, incndio ou tempestade. Se um evento for muito destrutivo, geralmente chamado de desastre. De forma geral, trs categorias de desastres podem afetar as organizaes: Desastres naturais (eventos); Desastres tcnicos (panes); e Desastres relacionados a seres humanos (comportamento).

Para evitar possveis contingncias e desastres ou minimizar os danos que eles causam, as organizaes podem tomar medidas de precauo para controlar o evento. Geralmente chamada de Plano de Contingncia (tambm conhecido como plano de recuperao de desastre, de continuidade do negcio, de continuidade das operaes, ou de

43 retomada do negcio), esta atividade est intimamente ligada ao manejo de incidentes, que primeiramente trata ameaas tcnicas maliciosas tais como hackers e vrus. O objetivo do Plano de Contingncia no permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de grandes falhas ou desastres (ISO/IEC 17799:2000). Os planos de contingncia devem ser desenvolvidos e implementados para garantir que os processos do negcio possam ser recuperados no tempo devido. Tais planos devem ser mantidos e testados de forma a se tornarem parte integrante de todos os outros processos gerenciais (ISO/IEC 17799:2000). Os seguintes passos devem ser seguidos no processo de elaborao de um plano de contingncia: a) Identificar as funes crticas da organizao; b) Identificar os recursos que do suporte s funes crticas; c) Antecipar potenciais contingncias ou desastres; d) Selecionar as estratgias do plano de contingncia; e) Implementar as estratgias de contingncia; e f) Testar e revisar a estratgia. Para a elaborao de um plano de contingncia eficaz, crucial que se observem os seguintes elementos-chave: a) Obter o apoio da alta diretoria; b) Possuir um objetivo claro que defina exatamento o que o plano vai realizar; c) Priorizar as funes crticas para manter a empresa em funcionamento; d) Verificar quais recursos financeiros esto disponveis para o realizar o plano que for necessrio; e) Definir claramente as responsabilidades de todos os envolvidos estabelecendo antecipadamente quem o responsvel por cada tarefa de recuperao e exatamente o que essa responsabilidade significa; f) Evitar um ponto nico de falha para que o sucesso ou falha do plano inteiro no deve ficar sob a responsabilidade de uma nica pessoa. Deve haver uma cadeia de comando, descrevendo quem assume o controle por algum se um funcionrio morrer ou tornar-se inapto para desempenhar suas tarefas; e g) Ter flexibilidade, ou seja, um bom plano deve ser atualizado anualmente ou conforme a necessidade da empresa/organizao.

44 De acordo com a ISO/IEC 17799:2000, o processo de planejamento da continuidade do negcio deve considerar os seguintes itens: a) Definio e reconhecimento de todas as responsabilidades e procedimentos de emergncia; b) Implementao dos procedimentos de emergncia que viabilizem a recuperao e restaurao nos prazos necessrios. Especial ateno deve ser dada anlise de dependncia de recursos e servios externos aos negcios e aos contratos existentes; c) Documentao dos processos e procedimentos definidos; d) Treinamento adequado da equipe nos procedimentos e processos de emergncias definidos, incluindo a gerncia de crise; e) Teste de atualizao dos planos. De acordo com o NIST Handbook a estratgia de um plano de contingncia consiste de trs partes: resposta de emergncia, recuperao e retomada. A resposta de emergncia aborda as aes iniciais tomadas para proteger vidas e limitar danos. Recuperao refere-se aos passos tomados para continuar o suporte s funes crticas. Retomada o retorno s operaes normais. A estratgia utilizada para possibilitar a capacidade de processamento est agrupada nas seguintes categorias: Hot site (instalaes quentes) Um prdio equipado de antemo com capacidade de processamento e outros servios; Cold site (instalaes frias) Um prdio para abrigar processadores que podem ser facilmente adaptados para uso; Site redundante Um local equipado e configurado exatamente como o primeiro; Acordo de reciprocidade Um acordo que permite que duas organizaes apoiem uma a outra. Hbridas Qualquer combinao acima, tal como usar um hot site como backup caso uma instalao redundante seja destruda por uma outra contingncia. Seja qual for o tipo de instalao, quente, fria, ou hbrida a equipe de suporte precisa estar apta a preencher as seguintes funes:

45 Armazenar cpias do plano contra desastres da empresa; Permitir que sua empresa funcione tanto como uma unidade administrativa; quanto como uma unidade operacional; e Armazenar backups de dados e a biblioteca de software.

3.10. FERRAMENTAS DE SEGURANA Com base no levantamento dos riscos, ameaas e vulnerabilidades que podem afetar a segurana das informaes, apresentamos a seguir algumas das ferramentas de segurana mais freqentemente utilizadas. 3.10.1. Criptografia A criptografia tem como objetivo, proteger a confidencialidade, autenticidade e integridade das informaes. Tcnicas e sistemas criptogrficos devem ser usados para a proteo das informaes que so consideradas de risco e para aquelas que os outros controles no fornecem proteo adequada. Baseado na anlise de risco, o nvel apropriado de proteo deve ser identificado levando-se em conta o tipo e a qualidade do algoritmo criptogrfico usado e o tamanho das chaves a serem utilizadas (ISO/IEC 17799:2000). A criptografia to antiga quanto a prpria escrita. Os romanos utilizavam cdigos secretos para comunicar planos de batalha. Contudo, somente depois da Segunda Guerra Mundial, com a inveno do computador, o uso da criptografia tomou maior impulso em seu desenvolvimento. O trabalho criptogrfico formou a base para a cincia da computao moderna. 3.10.1.1. Algoritmos Criptogrficos Existem dois tipos bsicos de algoritmos criptogrficos que podem ser utilizados tanto sozinhos como em combinao. Estes algoritmos, chave nica e chave pblica e privada, so usados para diferentes aplicaes e deve-se analisar qual o melhor para cada caso. Para que uma mensagem seja cifrada utilizam-se uma ou mais chaves (seqncia de caracteres) que sero embaralhadas com a mensagem original. Estas chaves devem ser

46 mantidas em segredo, pois somente com o conhecimento delas que se poder decifrar a mensagem. O primeiro tipo de algoritmo que surgiu foi o de chave nica, tambm chamado de algoritmo de chave simtrica. Neste, o sistema usa a mesma chave tanto para a cifragem como para a decifragem dos dados, e esta deve ser mantida em segredo. 3.10.1.2. Criptografia Simtrica A Criptografia Simtrica consiste em transformar, utilizando-se uma chave K e uma funo y=f(x), um texto legvel (informao aberta) x - em um texto ilegvel (informao criptografada) y O texto y transmitido para o destino onde y decriptografado pelo algoritmo inverso f 1 (y) obtendo-se o texto legvel x se e s se o destinatrio conhece a chave K, a qual deve ser utilizada no algoritmo inverso f 1 (y). Para quem desconhece a chave K computacionalmente difcil obter-se y a partir do conhecimento de x se o algoritmo for bem projetado, isto , se for seguro. 3.10.1.3. Algoritmos de Chave Simtrica DES (Data Encryption Standard) - Uma cifra de bloco criada pela IBM e endossada pelo governo dos Estados Unidos em 1977. O DES utiliza uma chave de 56 bits e opera em blocos de 64 bits. Projetado para ser implementado em componentes de hardware, ele relativamente rpido e usado com freqncia para criptografar grandes volumes de dados de uma s vez. O DES usado em muitas aplicaes mais seguras da Internet, incluindo a SSL (Secure Sockets Layer) e a maioria das alternativas mais seguras do IP. DES Triplo (Triple DES) - O DES triplo uma evoluo do DES, no qual um bloco de dados criptografado trs vezes com diferentes chaves. Vistos os anncios da possibilidade do clculo da chave secreta do DES por fora bruta estarem sendo cada vez mais viveis economicamente em funo inclusive do tamanho desta chave (56 bits), a NIST (National Institute of Standards in Technology antiga NBS - National Bureau of Standards) lanou em 1997 uma competio aberta para o sucessor do DES, chamado AES Advanced Encryption Standard. Nesta competio foram apresentadas 18 propostas, sendo que das cinco finalistas foi escolhido, entre duzentos, o algoritmo de criptografia Rijndael, produzido por dois Belgas.

47 Algumas das vantagens do AES so: poder usar chaves de 128, 192 e 256 bits ou maiores e ser executado eficazmente em um grande nmero de ambientes, cartes inteligentes, softwares de computador e browsers, enquanto o DES foi projetado principalmente para hardware Outro problema do DES foram as mudanas propostas pela NSA nas S-Boxes do algoritmo original (Lucifer), visto que alguns observadores temiam que essa mudana poderia introduzir uma armadilha e poderia permitir que um atacante decifrasse mensagens criptografadas pelo DES sem testar todas possveis chaves. Os S-boxes so tabelas no-lineares que determinam como o algoritmo de criptografia substitui bytes por outros. RC2 e RC4 - Ron Rivest da RSA DSI (Data Security Inc.) projetou essas cifras com tamanho de chave varivel para proporcionar uma criptografia em alto volume que fosse muito rpida. Pode ser usado como substituto do DES, pois ambos so cifras de bloco. Em softwares, o RC2 aproximadamente 2 vezes mais rpido do que o DES, ao passo que o RC4 10 vezes mais rpido que o DES. O IDEA (International Data Encryption Algorithm) foi criado em 1991, sendo projetado para ser facilmente calculado em softwares. bastante forte e resistente a vrias formas de criptoanlise. Opera com blocos de textos em claro no tamanho de 64 bits e possui uma chave de 128 bits, sendo que o mesmo algoritmo usado para cifrar e decifrar os textos. 3.10.1.4. Criptografia Assimtrica O problema da criptografia simtrica que as partes na comunicao devem conhecer a mesma chave, que deve ser divulgada entre as partes de forma sigilosa, pois se um terceiro elemento no autorizado tiver acesso chave poder comprometer a segurana atribuda pela criptografia. Como soluo para tal situao temos o algoritmo de chaves assimtricas. Esta soluo composta basicamente de um algoritmo de criptografia e de decriptografia (o qual pode ser ou no de conhecimento pblico, mas deve ser conhecido pelas partes de uma comunicao) e um par de chaves (conhecidas como chave privada e chave pblica) e que tem, basicamente, as seguintes premissas:

48 A informao criptografada por uma chave s pode ser decriptografada pela outra; Uma chave no pode ser descoberta a partir da outra (mesmo conhecendo o algoritmo de criptografia e de decriptografia e tendo a informao criptografada); e A chave pblica de uma entidade amplamente divulgada sendo que a chave privada s de conhecimento da mesma. Dessa forma a comunicao entre duas partes, como por exemplo A e B, feita como se segue: Tanto A quanto B possuem, cada um, um par de chaves (pblica e privada); Se A deseja enviar a B, ele solicita a chave pblica de B; De pose da chave pblica de B, A criptografa a informao com essa chave e envia a B; e A mensagem criptografada com a chave pblica de B s pode ser decriptografada pela chave privada de B. Algoritmos assimtricos (ou de chave pblica e privada) so muito complexos sendo que as chaves utilizadas so nmeros primos entre si e de valores muito grandes, o que torna muito lenta a cifragem e decifragem de uma grande quantidade de dados. Por isso, geralmente, algoritmos assimtricos so utilizados apenas para estabelecer sesso e a troca, de forma confivel, entre as partes envolvidas na comunicao, de uma chave simtrica. Um dos parmetros para se medir a resistncia de um algoritmo o tamanho de suas chaves. Quanto maior o nmero de bits das chaves, maior o nmero de possveis combinaes e, teoricamente, maior a resistncia do algoritmo contra ataques. 3.10.1.5. Algoritmos de Chave Assimtrica Dentre os diversos algoritmos de chave assimtrica destacam-se: Diffie-Hellman Protocolo para troca de chaves, criado antes do RSA, e modificado posteriormente, visto que pode ser quebrado por um intruso que capta toda a troca de informaes.

49 RSA - um algoritmo criado e patenteado pela RSA Data Security Inc., porm com uso liberado para quaisquer aplicaes. Baseado na dificuldade computacional de se fatorar um nmero inteiro muito longo (por exemplo 512 bytes de tamanho) em dois nmeros primos. A segurana do RSA est baseada no problema de fatorar nmeros grandes. Miller e Rabin Outro algoritmo de criptografia assimtrica muito usado. Similar ao RSA mas um algoritmo probabilstico, no sentido de que se pode concluir falsamente que o nmero inteiro primo mas com baixa probabilidade. 3.10.1.6. Algoritmos para Gerao de Assinatura Digital. Consiste de algoritmos que utilizam chaves privada e pblica para, a partir de um texto legvel de tamanho m, gerar uma informao criptografada de tamanho n onde n muito menor que m. Tal funo em um algoritmo assimtrico conhecida como funo de Hash ou de Espalhamento. Os algoritmos mais conhecidos so o MD5 (Message Digest 5), que um aprimoramento do MD4, e o RSA, tambm usado para gerar assinaturas digitais de 128 bits para mensagens de qualquer tamanho. O RSA um algoritmo que gera assinaturas digitais de 160 bits para mensagens de qualquer tamanho. considerado mais seguro que o MD5, porm tem uma performance em mdia 50% inferior, mas considerado um algoritmo bastante rpido alm de seguro. A segurana do RSA est baseada no problema de fatorar nmeros grandes. Um dos fatores que determinam a popularidade do RSA o fato de ele tambm poder ser usado para assinatura digital (ver 3.10.2 PKI). 3.10.2. PKI (Public Key Infrastructure) o processo de certificao digital que possibilita a identificao inequvoca da identidade, procedncia e contedo das informaes, baseado na troca de chaves criptografadas. Uma PKI utilizada para prover a identificao de uma entidade eletrnica (usurio, computador, etc.) na Internet.

50 A identificao digital de um usurio chamada de Certificado Digital, o qual possui o nome, chave pblica (ver criptografia assimtrica) e outros dados de um usurio. usado para validar uma assinatura digital que pode ser anexada a um e-mail ou formatos eletrnicos. As chaves privadas so armazenadas em um hard disk ou em um Token. Neste caso a chave somente pode ser utilizada quando o token for inserido no computador (um exemplo o smart card). Uma PKI composta dos seguintes componentes: CA - (Certificate Authorities Autoridade Certificadora) : Responsvel por criar, distribuir e revogar certificados digitais. RA - (Registration Authorities - Autoridade Registradora): Registra novos usurios. Podemos citar ainda outros conceitos utilizados em PKI: Certificao: o processo de associao de uma chave pblica a um usurio. Validao: verificao se o certificado est ou no expirado e se as informaes nele so verdadeiras. Revogao: um certificado no pode ser apagado ou reutilizado. Quando o mesmo no mais vlido marcado pela CA como revogado. Os usurios da PKI podem descobrir o status atual de um certificado digital utilizando o processo Real-time Online Certificate Status Checking.
CA 3 Checando e Validando 1 Certificado Emitido

Usurio 2 Certificado Enviado www.sef.df.gov.br

Figura 4 - Funcionamento do Processo Real-time Online Certificate Status Checking:

51 Outro modo, menos confivel, de checar o status de um certificado requer que os usurios da PKI faam um download de uma lista de certificados revogados (CRL) pela CA. O maior problema das CRLs o fato de que muitos certificados so revogados por dia. Uma empresa pode correr risco, pelo fato de possuir uma CRL desatualizada, de estar confiando em um certificado que acabou de ser revogado. 3.10.2.1. Assinatura Digital As assinaturas digitais fornecem os meios para proteo da autenticidade e integridade de documentos eletrnicos (ISO/IEC 17799:2000). Para criar uma assinatura digital para uma mensagem de e-mail, por exemplo, uma cpia da mensagem criptografada (algoritmo Hash) usando a chave privada (assinatura digital), a qual enviada, junto com a mensagem de e-mail e o certificado digital do remetente para o destinatrio, que cria a assinatura digital utilizando a chave pblica do remetente e compara com a assinatura recebida. A assinatura digital somente pode ser decriptografada e verificada usando-se a chave pblica embutida no certificado digital do remetente, garantindo assim que uma mensagem no foi falsificada por terceiros. 3.10.3. Firewall Firewall um sistema baseado em software ou hardware capaz de controlar o acesso entre duas redes ou sistemas, impedindo acessos indevidos e ataques. O firewall de uma rede no apenas um roteador ou servidor para defesa. na verdade, uma combinao de elementos, com o objetivo de oferecer segurana s informaes que trafegam na rede, seja ela uma intranet ou internet. um dos elementos utilizados para segmentar a rede e criar um permetro de defesa definido em uma poltica de segurana. Um dos maiores benefcios do firewall o de facilitar o trabalho do administrador da rede que consolida a segurana no sistema de firewall evitando distribuir todo um esquema de segurana por cada um dos servidores que integram a rede privativa. O firewall oferece um ponto de segurana que pode ser monitorado e, caso aparea alguma atividade suspeita, gera um alarme antes que ocorra efetivamente um ataque ou suceda algum problema no trnsito dos dados.

52 A preocupao principal de um administrador de rede so os mltiplos acessos Internet que podem ser controlados atravs do firewall. Cada um destes pontos de acesso significa um ponto potencial de ataque rede interna, os quais devem ser monitorados regularmente. Um firewall no pode proteger a rede contra os seguintes ataques: Backdoors (portas dos fundos) - modem conectado rede interna e Internet via telefnica, por exemplo; De engenharia social; Vrus passados internamente atravs de arquivos e softwares; e Possveis ataques em transferncia de dados. Isto ocorre quando aparentemente dados inofensivos so enviados e copiados em um servidor interno e executados despachando um ataque. As premissas do sistema de firewall que descrevem a filosofia fundamental da segurana da organizao so as seguintes: Tudo que no especificamente permitido, proibido. Tudo que no especificamente proibido permitido.

Um firewall tpico se compe de uma ou mais combinaes dos seguintes obstculos: Roteador filtra-pacotes; Gateways a nvel de aplicao; e Gateways a nvel de circuito.

O roteador toma decises de recusar ou permitir a entrada de cada um dos pacotes que so recebidos. O roteador examina cada datagrama para determinar se este corresponde a um dos seus pacotes filtrados e se foi aprovado por suas regras de filtro. Quando se avalia um roteador para ser usado para filtragem de pacotes, os seguintes critrios devem ser observados: endereos de IP origem e destino, nmeros de porta TCP origem e destino, estado do bit ACK no pacote TCP, nmeros de porta UDP origem e destino, e direo do fluxo de pacotes. O problema do filtro de pacotes IP que no pode prover um controle eficiente sobre o trfego. Ele pode permitir ou negar um servio em particular, mas no capaz de compreender o contexto todo deste servio.

53 O gateway de aplicao pode ser configurado para suportar unicamente as caractersticas especficas de uma aplicao que o administrador considere relevantes, negando todas as outras. O gateway de aplicao pode tambm exercer a funo de um servidor proxy o qual utilizado para concentrar servios de aplicao atravs de uma nica mquina. O Statefull Inspection um firewall composto por um filtro de pacotes mais inteligente. Permite uma verificao a nvel de camada de aplicao sem requerer um proxy para cada tipo de servio segurado. Conhece os estados de cada comunicao que passa pela mquina do firewall, incluindo pacote, conexo e informao de aplicao. Servidores de segurana fazem a verificao do contedo de acordo com a definio do usurio. O maior esforo atual em tcnicas de firewall encontrar uma combinao de um par de roteadores de filtragem com um ou mais servidores proxy na rede entre dois roteadores. Esta configurao permite ao roteador externo bloquear qualquer tentativa de usar a camada IP subjacente para quebrar a segurana, enquanto permite ao servidor proxy tratar potenciais furos de segurana nos protocolos das camadas superiores. A finalidade do roteador interno bloquear todo trfego exceto para o servidor proxy. Os firewalls podem ser uma grande ajuda quando se est implementando segurana em um site e protegem contra uma variedade de ataques. Mas so apenas uma parte da soluo. Eles no podem proteger seu site contra todos os tipos de ataques. 3.10.4. Anti-Vrus Anti-vrus um software capaz de detectar e eliminar viroses de computador, assegurando integridade e disponibilidade das informaes. 3.10.4.1. Softwares de Preveno Os programas de preveno permanecem residentes em memria durante todo o perodo de uso do computador. Eles acompanham todos os processos do sistema, atentos para sinais de contaminao ou reproduo do vrus. Esses programas filtram os acessos a arquivos feitos por outros programas. Um dos maiores defeitos dos softwares de preveno que a maioria deles no consegue evitar a contaminao do segmento de boot. A razo simples: a contaminao do segmento de boot acontece durante a inicializao da mquina, quando o software antivrus nem foi carregado para a memria. Apesar disso, aps a

54 inicializao do computador conseguem identificar a contaminao e indicam o procedimento para a remoo do vrus. 3.10.4.2. Softwares de Deteco Os programas de deteco baseiam-se no princpio de que uma contaminao pode ser localizada e contida imediatamente aps ter ocorrido. Os programas detectam o vrus por meio das pistas deixadas por eles durante a invaso do sistema. Os programas de deteco so mais eficazes que os de preveno e detectam qualquer tipo de vrus. A forma mais eficaz de proteo disponvel atualmente alcanada por produtos que usam a tcnica que cria uma imagem do disco. Esse tipo de programa de deteco cadastra todas as informaes crticas do sistema na hora da instalao inicial de cada pacote de software, incluindo o sistema operacional e o segmento de boot. Depois disso, uma verificao rotineira executada para comparar as informaes cadastradas com as atuais, isto , comparar a imagem do disco original contra a atual. Se traos de contaminao forem detectados, a rea do disco ser identificada e o usurio, alertado. Os softwares antivrus que usam essa tcnica tm sido muito bem sucedidos na identificao de uma grande variedade de vrus digitais. 3.10.4.3. Software de Identificao Esse tipo de programa antivrus somente funciona nos casos em que o vrus que contaminou o sistema conhecido. O vrus ser identificado pelo programa que pesquisa no disco rgido a procura de caractersticas internas e especficas de cada tipo de vrus nele cadastrado. Uma vez localizado o vrus, o programa efetua uma alterao no arquivo contaminado, tentando restaurar seu formato original. 3.10.4.4. Requisitos Bsicos de um Antivrus A seguir esto alguns requisitos bsicos que um software antivrus deve possuir: Capacidade de monitorar todo o trfego de arquivos e informaes e o sistema computacional (programas/processos em execuo, memria e interrupes do computador);

55 Capacidade de detectar vrus quando o arquivo estiver sendo executado, copiado, movido, renomeado ou aberto, por outro programa; Tomar medidas de preveno com as seguintes opes de configurao: limpar, excluir, tornar inacessvel o arquivo contaminado ou apenas avisar sobre arquivo infectado; Detectar e tomar medidas de preveno para todos os tipos de vrus (vrus de inicializao, vrus de programa, vrus polimorfos, vrus de macros para arquivos produzidos pelos produtos/softwares do MS-Office, Cavalos de Tria, controles Active X, applets Java, VB Script e outros cdigos); Detectar e tomar medidas de preveno contra vrus desconhecidos pela ferramenta antivrus ofertada; Oferecer em tempo real para downloads da Internet (via HTTP, FTP, SMTP ou POP3) e para arquivos e informaes provenientes da rede de computadores a qual o equipamento est conectada; Detectar e tomar medidas de preveno em arquivos compactados, no mnimo, para os formatos PKZIP, ZIP2EXE, ZIP, ARJ, RAR e CAB; Ser ativado/inicializado toda vez que o computador for ligado; e Opo inteligente para atualizao via internet (HTTP e FTP), arquivo local de rede e executvel. 3.10.5. VPN (Virtual Private Network) Sistema implementado por software ou hardware capaz de assegurar uma conexo de dados segura em meios pblicos (como a internet) atravs de mecanismos de autenticao e criptografia. Uma VPN garante a segurana (modificao e interceptao) de dados transmitidos pela Internet e a reduo de custos com comunicao corporativa. Links dedicados podem ser substitudos pela Internet. As LANs podem, atravs de links dedicados ou discados, conectar-se a algum provedor de acesso local e interligar-se a outras LANs, possibilitando o fluxo de dados atravs da Internet. Esta soluo pode ser muito interessante sob o ponto de vista econmico, sobretudo nos casos em que enlaces internacionais ou nacionais de longa distncia esto envolvidos.

56 O acesso remoto a redes corporativas utilizando a Internet pode ser viabilizado com a tecnologia VPN atravs da ligao local a um provedor de acesso. A estao remota disca para o provedor de acesso, conectando-se Internet e o software de VPN cria uma rede virtual privada entre o usurio remoto e o servidor de VPN corporativo atravs da Internet. As VPNs possibilitam a conexo fsica entre redes locais, restringindo acessos indesejados atravs da insero de um servidor VPN entre elas. O servidor VPN no ir atuar como um roteador entre a rede departamental e o resto da rede corporativa uma vez que o roteador permitiria a conexo entre as duas redes autorizando o acesso de qualquer usurio rede departamental sensitiva. Adicionalmente, toda comunicao ao longo da VPN pode ser criptografada assegurando a confidencialidade das informaes. Uma VPN pode ser implementada de dois modos: tunelamento e por pacote, sendo que o primeiro o mais usado. Para a implementao de uma VPN necessrio o uso de Gateway ou roteador VPN (alguns roteadores de borda fazem este papel) que crie o tnel de comunicao segura. Para se implementar uma VPN entre duas redes (ou at mesmo um notebook ou um computador de casa e uma rede LAN) interconectadas atravs de uma terceira rede (esta pblica como a internet ou at mesmo frame-relay, ATM ou X.25) deve-se utilizar em cada uma um gateway VPN (que inclusive pode ser um software de comunicao ou at o prprio sistema operacional que utiliza protocolo de comunicao que suporta VPN em um notebook por exemplo). A informao enviada entre as redes passa por um gateway VPN que forma o tnel, encapsula e criptografa a informao a nvel de rede (padro atual IPSEC). Depois, o pacote criptografado roteado e enviado via internet, por exemplo, como um datagrama IP normal. Na comunicao remota o protocolo de comunicao para transmisso segura o PPTP (Point-to-Point Tunneling Protocol), que a extenso do PPP usado em conexes dial-up tradicionais. Um cliente VPN requerido no equipamento do usurio mvel (alguns sistemas operacionais como o Windows 2000 suportam o protocolo PPTP).

57 3.10.5.1. IPSec O problema das solues de segurana, a nvel de camada de aplicao, que so especficas para um ou outro servio/aplicao. Como resposta a isto, um subgrupo do IETF (Internet Engineering Task Force) desenvolveu um padro para comunicao TCP/IP de forma genrica. Esta soluo chamada de IPSec (IP Security Suite). Toda a comunicao LAN, WAN e Internet utiliza o controle de roteamento baseado na camada de rede. O IPSec funciona como uma subcamada logo acima da camada IP. O padro IPSec prov segurana a nvel de autenticao, confiabilidade e confidencialidade. De forma geral, para garantir a segurana, o IPSec criptografa o pacote IP. Os procedimentos utilizados so os seguintes: ESP (Encapsulating Security Payload) O ESP possibilita a construo de tneis (tunelamento) criptografados, onde o header e o payload do datagrama IP so encapsulados e criptografados (utilizando algoritmo simtrico) no novo payload do IPSec, ento ele adiciona um novo header contendo o IP destino do gateway VPN. Desta forma, o IPSec oferece a vantagem de esconder da Internet os endereos IP originais, impedindo a leitura por ataques de monitorao de trfego. Como parte final da operao, o payload agora autenticado com algoritmos de hash (assinatura digital). AH (Authentication Header) Depois de criado o novo header, este deve ser autenticado. A autenticao do AH difere do ESP porque a autenticao do AH no protege as informaes que esto no cabealho do pacote IPSec, mesmo porque alguns campos so alterados medida em que atravessam a rede em funo do roteamento. A autenticao deve suportar algoritmos de hash especficos e que estejam dentro do padro IPSec. IKE (Internet Key Exchange) Para as parte envolvidas em uma transmisso de dados segura se comunicarem preciso serem concludas trs etapas importantes: Negociao entre as partes sobre protocolos, algoritmos de criptografia e chaves a serem utilizadas na sesso; Troca de chaves de um modo eficiente; e Manter estes requisitos durante a conversao.

58 O IKE funciona basicamente em duas fases: a primeira o estabelecimento de uma sesso segura (utilizando-se chaves assimtricas) e a segunda a negociao da troca das chaves. 3.10.6. IDS (Intrusion Detection System ) A deteco de intrusos uma tecnologia de segurana capaz de identificar e isolar intruses contra um sistema de computao e iniciar procedimentos de alerta e contraataque. Diferentes IDSs tm diferentes classificaes de intruso. Um sistema tentando detectar ataques contra servidores Web pode considerar apenas pedidos maliciosos HTTP, enquanto que um sistema que se proponha a monitorar protocolos dinmicos de roteamento pode considerar apenas RIP spoofing. Independente do tipo, os IDSs compartilham uma definio geral de intruso, que o uso no autorizado ou inadequado de um sistema de computao. A deteco de intrusos um componente importante de um sistema de segurana e complementa outras tecnologias. Ao fornecer informaes ao administrador do site, o IDS permite no apenas a deteco de ataques explicitamente endereados por outros componentes de segurana (tais como firewalls), como tambm tentativas de notificao de novos ataques no previstos por outros componentes, Os IDSs tambm fornecem informao que potencialmente permitem s organizaes descobrirem as origens de um ataque. Desta forma, os IDSs tentam fazer com que os atacantes se tornem responsveis por suas aes, e at certo ponto, servem para desestimular futuros ataques. Devido a sua importncia dentro de um sistema de segurana, crucial que o IDS funcione conforme a expectativa da organizao que o est implementando. Para que o IDS seja til, o administrador do site precisa poder confiar na informao fornecida pelo sistema. Sistemas com falhas no s fornecem menos informaes, como tambm uma perigosa falsa sensao de segurana. Dadas as implicaes de falhas em um componente do IDS, correto presumir que os IDSs em si so alvos bvios para ataques. Um intruso mais esperto que perceba que um IDS foi implementando em uma rede que ele est atacando ir muito provavelmente atacar primeiro o IDS tentando desabilit-lo ou forando-o a dar informaes falsas (distraindo o pessoal de segurana do verdadeiro ataque).

59 Para que um componente de software possa resistir a ataques, ele precisa ser projetado e implementado com um entendimento claro sobre os meios especficos pelos quais ele pode ser atacado. 3.10.7. Backup Sistema que possibilita a reproduo e a posterior restaurao de informaes a partir de meios magnticos, pticos e outros. Backup dos dados essenciais do negcio e de arquivos de programa devem ser feitos regularmente. Recursos e instalaes alternativos devem ser disponibilizados de forma a garantir que todos os dados e sistemas aplicativos essenciais ao negcio possam ser recuperados aps um desastre ou problemas em mdias. Procedimentos alternativos para sistemas independentes devem ser regularmente testados para a garantia de que eles satisfaam os requisitos dos planos de continuidade de negcios. Os seguintes controles devem ser considerados: 1) Um nvel mnimo de cpias de segurana, juntamente com o registro completo e atualizado destas cpias e com a documentao dos procedimentos de recuperao, devem ser mantidos em local remoto a uma distncia suficiente para livr-los de qualquer dano que possa ocorrer na instalao principal; 2) Os backups devem ser objeto de proteo fsica e ambiental compatveis com os padres utilizados no ambiente principal. Os controles adotados para as mdias e para o ambiente principal devem ser estendidos para o ambiente alternativo; 3) As mdias utilizadas para backup devem ser periodicamente testadas, sempre que possvel, de modo a garantir a sua confiabilidade de uso quando for necessrio em caso de emergncia; e 4) Os procedimentos de recuperao devem ser verificados e testados periodicamente para garantia de sua efetividade e de que podem ser completados dentro do prazo determinado nos procedimentos operacionais para recuperao. (ISO/IEC 17799:2000). Fazer backup dos dados e programas de uma rede uma das ferramentas de segurana mais fceis e baratas de serem implementadas em uma organizao, contudo pode ser facilmente negligenciado quando tudo parece estar funcionando bem. Infelizmente, vrias empresas s descobrem a importncia da implementao de um bom

60 plano de backup quando perdem seus dados por um acidente na sala do servidor, ou por um descuido de algum usurio apagando todos os seus arquivos. 3.10.8. RADIUS (Remote Authentication Dial In User Service) O RADIUS um padro utilizado para autenticao remota. As funes primrias do servidor RADIUS so autenticao e autorizao de usurios remotos (dial-up) para conexo a uma rede. Um servidor RAS (ou qualquer servidor NAS - Network Access Server) passa a ser um cliente do servidor RADIUS (tambm conhecido como proxy RADIUS). A negociao entre o usurio e o RADIUS se d basicamente da seguinte forma: Todo usurio, ao conectar-se a um servidor RAS, deve informar as suas credencias (nome, senha, e outras quando necessrio). O servidor RAS encaminha ao proxy RADIUS um pedido de acesso contendo as credenciais do usurio (access-request), as quais so analisadas pelo RADIUS. O RADIUS valida o usurio e retorna ao RAS as permisses e configuraes do usurio (access-accept) ou rejeio de acesso (access-reject). O RADIUS opera tanto com mecanismos de autenticao do Unix e Windows quanto com protocolos de autenticao, como o PAP e o CHAP, sobre o protocolo PPP. PAP (Protocolo de Autenticao de Senha) - o usurio envia a sua senha aberta na rede e o servidor retorna as permisses do usurio. Neste caso, a senha segue criptografada entre o RAS e o RADIUS por uma chave conhecida por ambos os servidores. CHAP (Challenge Handshake Authentication Protocol) O mais utilizado em autenticao RADIUS. Neste caso enviado pela rede um desafio. Este desafio consiste em criar um Message Digest, atravs do Algoritmo RSA MD5 utilizando a senha do usurio. O servidor RAS envia o Message recebido ao servidor RADIUS que conhece a senha do usurio e que a utiliza para criar um Message Digest e comparar com o recebido. A segurana da confidencialidade da senha est no fato do RSA ser um algoritmo de Hash (a mensagem original no pode ser obtida atravs do conhecimento da chave e da mensagem criptografada).

61 3.10.9. Biometria A biometria o estudo das caractersticas mensurveis do ser humano que possibilitam o reconhecimento de um indivduo. A impresso digital, ris, retina, geometria da mo, voz, face e velocidade de digitao so caractersticas que permitem a identificao de usurios. Esta abordagem confirma a unicidade e estabilidade destas caractersticas, o que permite o reconhecimento ao longo da vida. A identificao biomtrica procura trabalhar como a mente humana. O reconhecimento das pessoas realizado por meio da comparao das caractersticas biomtricas, cujo ndice de similaridade vai determinar o sucesso da identificao, ou seja, se as caractersticas biomtricas apresentadas so muito parecidas com as armazenadas, neste caso o sistema confirma a identidade do usurio. Este mecanismo est sujeito ocorrncia de trs situaes: identificao com sucesso, o falso-positivo e o falso-negativo. Exemplificando, quando se atende o telefone h grandes chances de se identificar o interlocutor pela voz e em algumas vezes errar no reconhecimento. Quando ocorre o acerto, este advm do fato da voz do interlocutor possuir muitas caractersticas em comum com a correspondente j memorizada, neste caso temos uma identificao com sucesso. Quando ocorre uma troca na identificao do interlocutor estamos diante de um fato denominado falso-positivo. Por fim, quando o interlocutor j conhecido mas no prontamente identificado estamos diante de um fato denominado falso-negativo. Na observao de uma carteira de identidade possvel identificar rapidamente seu proprietrio pela foto mas no pela impresso digital que requer um complexo processo de anlise comparativa que a mente humana no est acostumada a fazer. No entanto, um processo automatizado de reconhecimento biomtrico dos traos digitais pode ser altamente confivel, rpido e economicamente vivel. Cada tecnologia de identificao possui seu prprio mecanismo de captura de dados. Um scanner de impresso digital um dispositivo de dimenses reduzidas com as mesmas funcionalidades de scanner de mesa, porm, especializado na captura de digitais humanas. O mesmo acontece com a captura da imagem do olho para o reconhecimento da ris que realizado por uma cmera de vdeo especialmente projetada para trabalhar com maior sensibilidade capaz de registrar todos os detalhes de um olho. Existem atualmente dois mtodos de reconhecimento: reconhecimento 1:1 e reconhecimento 1:N. O primeiro aplica-se s senhas, onde o usurio se identifica por meio de um cdigo alfanumrico e apresenta sua identificao biomtrica, restando ao sistema

62 comparar as caractersticas desta com aquelas j armazenadas. O mtodo de reconhecimento 1:N, pouco utilizado devido a sua alta complexidade pois o usurio dever ser identificado apenas por suas caractersticas biomtricas (impresso digital, ris, voz, etc,) a partir de inmeras comparaes que resultam na escolha de um conjunto j armazenado e que mais se aproxima daquele capturado. A identificao biomtrica leva em conta caractersticas dos seres na presena de vida. Desta forma, a extrao de partes do corpo humano para forjar uma presena inexistente no obter xito numa possvel fraude, portanto esta tecnologia pode ser aplicada para permitir ou negar acesso fsico a ambientes protegidos alm de controlar acessos lgicos a sites de servios eletrnicos. 3.10.10. Call Back o procedimento para identificar um terminal remoto. No procedimento call back, o host desconecta a ligao logo aps a chamada e a seguir liga para o nmero de telefone autorizado do terminal remoto para restabelecer a conexo. um mecanismo utilizado pelo servidor RAS para garantir a autenticidade do ponto remoto que deseja acessar a rede. Exemplificando, este processo pode ocorrer da seguinte forma: o usurio atravs de sua linha telefnica solicita conexo ao servidor RAS. Aps a troca de informao de identificao o equipamento do usurio derruba a chamada e aguarda a solicitao de conexo do servidor RAS. O mesmo, com a identificao do ponto discado, efetua nova chamada ao ponto remoto utilizando o nmero telefnico anteriormente informado como sendo do usurio. 3.10.11. Token Card Dentre um variado nmero de protocolos para verificao da autenticidade de usurios encontramos um modelo baseado em Cartes de Identificao comumente conhecidos por token card ou smart card. Tais mecanismos baseiam-se em dois mtodos diferentes: Desafio e Resposta; e Autenticao por sincronismo.

63 O esquema baseado em desafios e respostas pressupe a pr liberao controlada de um semi identificador do usurio que ir compor sua identificao completa no ato da entrada no sistema. Este mtodo, resumidamente, funciona da seguinte forma: a) b) c) O usurio aciona o servidor de autenticao, e este emite um prompt para que o mesmo efetue seu login; O usurio informa seu ID pessoal para o servidor e este retorna-lhe um nmero aleatrio, denominado desafio, que aparece em sua tela; e O usurio ento insere este nmero em seu token card, o mesmo cifrado junto com a chave do usurio contida no carto transformando-se numa resposta que enviada para o servidor, que o autentica ou no caso essa resposta esteja de conformidade com informaes de sua base de dados. O esquema a seguir demonstra o funcionamento do mecanismo de desafio/resposta.

Figura 5 Autenticao desafio/resposta com ficha

Na autenticao por sincronismo ocorrem os seguintes passos: a) O usurio efetua seu login de acesso no servidor que emite um prompt para receber um cdigo de acesso; b) O usurio informa um nmero de identificao pessoal (PIN) a seu token card e obtm como resultado um nmero representando sua senha para ser usada uma nica vez no servidor; e c) O token card transmite ao servidor a senha obtida e este a compara com outra gerada em seu ambiente, caso as mesmas sejam equivalentes o acesso do usurio rede permitido.

64 O esquema a seguir ilustra o mecanismo de autenticao com token card realizado por sincronismo.

Figura 6 Autenticao com Sincronismo

A utilizao de um dos dois sistemas faz com que o usurio tenha que carregar um dispositivo tal qual um carto de crdito, para providenciar suas credenciais de autenticao.

65 4. CONTEXTUALIZAO As conseqncias da expanso das comunicaes eletrnicas sobre os servios ofertados pelos Governos sociedade so objeto de prognsticos que destacam a velocidade e amplitude surpreendentes dos impactos esperados. As ameaas segurana das comunicaes eletrnicas provocam uma perda estimada de cerca de US$ 84,4 bilhes anuais decorrentes de ataques aos sistemas de transaes eletrnicas (dados do The Management Advice Group). O surgimento dos hackers tem assustado, impondo o desafio da elaborao de respostas com idntica agilidade, criatividade e flexibilidade. A comunidade dos hackers atualmente estimada em cerca de 3.500 sites na Internet, 800 bulletinboards contendo o que poderia ser qualificado como receitas de assalto aos sistemas, alm de aproximadamente 50 publicaes especializadas. Segundo a Network Associates, so criados na Internet cerca de 10 novos vrus por dia. Contudo, a questo da segurana no pode se limitar ao problema dos ataques a sistemas, porque tambm inclui a ocorrncia de acidentes ou de falhas no intencionais. A segurana aparece hoje como responsvel por 81% das intenes de investimento, segundo dados de pesquisas do Gartner Group. No haveria como realmente estimar os custos envolvidos na expanso da rea de segurana em virtude de rpida evoluo tecnolgica no setor. Tratando das organizaes governamentais brasileiras, especificamente daquelas responsveis pela administrao tributria, constatamos junto s cartas consultas encaminhadas ao Ministrio da Fazenda desde 1997, por quase todas as unidades da federao, com vistas a apreciao do Programa Nacional de Apoio Administrao Fazendria dos Estados e Municpios PNAFEM, a formao de uma clara agenda de questes a serem enfrentadas pelo citado segmento do setor pblico, onde aparecem com freqncia os seguintes temas: A busca de meios para suprir uma oferta continuada de servios demandados pela populao, dentro de uma nova concepo que pode ser sintetizada na simbologia 24x7; A transparncia ou amplas facilidades de acesso informao pblica pelo cidado; A busca da mais ampla capilaridade; e

66 A busca de meios para a materializao do governo dentro de casa, por meio do contato direto com o cidado, o que dever ensejar no somente a expanso e redesenho da prestao de servios mas tambm a criao de novos mecanismos de interao entre governo e sociedade. No mbito de qualquer organizao, a manuteno da segurana depende da adequada formulao e implementao de polticas corporativas, a partir de um diagnstico preciso e da opo dentre um amplo leque de tecnologias, metodologias e instrumentos. Os custos envolvidos so componentes cada vez mais indissociveis no esquema de modernizao. Dessa forma, segurana no simples proteo, porque precisa igualmente contemplar a preveno, a deteco e a reao a ataques ou a falhas. H uma relao de implicao evidente entre segurana e custos, na medida em que a deciso pela aquisio de uma ferramenta para tal fim deve considerar os riscos e sua gradao. Em sntese os desafios da segurana impem s organizaes, em especial: Conhecimento das ameaas que rondam seus negcios; A adoo de polticas de segurana; Desenvolvimento de uma cultura de segurana; A construo de sistemas slidos de identificao e de autenticao; e A implementao de forma efetiva da poltica de segurana.

Para o Estado alm da preocupao com a melhor forma de aplicao interna das novas tecnologias em consonncia com seus aspectos organizacionais e demandas da sociedade, coloca-se a discusso de sua prvia e necessria interveno regulatria, compreendendo em particular os seguintes assuntos: assinatura eletrnica; cyber-crimes; moeda eletrnica; marcas e nomes de domnio na Internet, e direitos autorais sobre multimdias.

Conforme aponta a stima pesquisa Mdulo Security, 53% dos ataques contra organizaes brasileiras tem como autores funcionrios insatisfeitos das organizaes atingidas. Aspecto importante o indcio de que os dados a respeito da criminalidade eletrnica so subestimados, considerando os riscos de imagem para as instituies que realizam transaes com clientes em meio eletrnico, associados com a divulgao de ocorrncias dessa natureza.

67 O aperfeioamento da legislao brasileira j possibilita a criminalizao de condutas que anteriormente eram de difcil enquadramento legal, tais como o acesso indevido e a violao de sistemas, a falsificao de documentos em meio eletrnico, a obteno de segredos, a cpia no autorizada de programas, a espionagem e a violao de bancos de dados. Alm desses, crimes que j eram objeto de tipificao legal podem ser praticados com o auxlio de equipamentos de computao, tais como o estelionato (por meio da transferncia eletrnica de fundos), a discriminao racial (objeto de legislao especfica: a Lei n. 7.716/96 da Constituio Federal CF), a pornografia infantil (objeto da Lei n. 8.069/91 da CF) e a interceptao telemtica, conhecida como grampo (Lei n. 9.296/96 da CF). Entretanto, o rol de prticas criminosas em meio eletrnico desafia os limites das abordagens convencionais na sua investigao e demanda solues criativas. Os cyber crimes esto levando a uma reviso de conceitos na rea jurdica em virtude de suas caractersticas inovadoras. So crimes que extrapolam a territorialidade convencional, porque tm lugar, por exemplo, no espao virtual da Internet. Por outro lado, s podem ser tipificados a partir de evidncias materiais (o registro da informao) e no por meio de testemunhos. O anonimato, a extrema disperso territorial, a velocidade e facilidade de movimentao, so caractersticas que dificultam a investigao convencional. Tratando expressamente das Secretarias de Receita, constatamos que a maioria delas apresentam situaes similares quanto ao desenvolvimento de seus sistemas de computao. Limitadas pela legislao que lhes impem inmeras regras e contando com oramentos restritos destinados a novos investimentos, tais instituies se viram obrigadas a desenvolver solues caseiras na busca do atendimento das demandas da comunidade. O aumento da demanda com o aparecimento constante de novos contribuintes, acompanhado de exemplos significativos de excelentes servios prestados pela rede mundial, tem pressionado os gestores responsveis pelas funes de Estado de administrao tributria a se desdobrarem em solues imediatistas que por vezes no tm observado os princpios bsicos da segurana necessria. Relacionamos a seguir uma srie de problemas mais comuns na rea das tecnologias de informtica aplicadas, verificados junto a um grande nmero de Secretarias de Receita:

68 Falta de um plano diretor de tecnologia visando maximizar os investimentos na aquisio e manuteno de hardwares e softwares; Ferramentas tecnologicamente desatualizadas; Sistemas corporativos com baixa integrao; M alocao de equipamentos de informtica; Falta de clareza de produtos contratados com terceiros; Grande dependncia de servios de terceiros; e Ausncia de um sistema de segurana e controle de acessos.

4.1. OBJETIVO GERAL DAS ORGANIZAES DE ADMINISTRAO TRIBUTRIA Como em qualquer organizao, o Governo funciona baseado em uma diviso clara das tarefas a serem desenvolvidas no plano de sustentao interna e, principalmente, daquelas de natureza finalstica onde os resultados so ofertados diretamente comunidade. No elenco de agentes e atribuies governamentais verificamos um segmento responsvel pela administrao tributria cuja misso principal suprir as necessidades financeiras para suporte das aes desenvolvidas pelo Estado. A captao dos citados recursos origina-se de um conceito onde os bens comuns devem ser providos por toda a sociedade mediante uma participao proporcional de cada um de seus membros conforme suas disponibilidades e posses. Cabe s entidades de administrao tributria a misso de definir a capacidade contributiva de cada um de seus membros, propor a forma de participao destes e implementar os mecanismos de captao dos citados recursos. 4.2. OBJETIVOS ESPECFICOS A misso de captar recursos junto sociedade resulta de uma variedade de sub funes que precedem o ato de recolhimento e vo muito alm deste. Estudos preliminares devem apontar, alm da capacidade, a disposio da sociedade em participar como coautora das aes do Governo. As principais atividades de uma instituio de administrao tributria esto resumidas a seguir: Elaborao de estudos demonstrativos da viabilidade econmico/tributria; Proposio dos modelos de tributao;

69 Arrecadao de impostos e taxas; Realizar lanamentos; Administrar de declaraes; Controlar pagamentos; Controlar repasses bancrios; Cobrar inadimplncias; Gerenciar contencioso fiscal; Julgamentos da instncia administrativa;

Fiscalizao.

Atender aos contribuintes.

Devemos ressaltar que nos ltimos tempos dois fatores vm causando uma verdadeira revoluo no mbito da administrao tributria agregando-lhes novas atribuies internas, a saber: O vertiginoso desenvolvimento dos meios de comunicao disseminou conceitos de cidadania participativa at ento restritos a uma pequena parte da sociedade. Este fato especializou as demandas dos cidados que ainda revestidos de direitos passaram a cobrar com veemncia as respectivas contrapartidas, obrigando tais instituies a buscarem rapidamente qualidade nas suas funes de atendimento aos contribuintes; e As novas ferramentas de processamento eletrnico de dados foram adotadas em larga escala sem grandes preocupaes com a segurana dos mesmos. O aparecimento dos crimes cibernticos mostrou grandes vulnerabilidades e o aparecimento de novas atividades internas. 4.3. ORGANOGRAMA PADRO Aps um longo perodo de observao das estruturas organizacionais existentes nos estados e municpios destinadas ao suporte das atividades tributrias, constatou-se a predominncia absoluta de uma estrutura clssica conforme apresentada a seguir, onde, comumente, no aparece definida uma entidade cuja misso principal seja a formulao e gesto de polticas destinadas proteger os ativos de tecnologia e informaes existentes.

70

SECRETRIO DE RECEITA Coordenao de Administrao Coordenao de Informtica - INF

Junta de Recursos Fiscais - JRF

Departamento de Tributao - TRI

Departamento de Arrecadao ARR

Departamento de Fiscalizao - FIS

Departamento de Atendimento aos contribuintes ATE

Figura 7 - Estrutura Bsica das Secretarias de Receita

4.4. COMPETNCIAS GENRICAS 4.4.1. Coordenao de Administrao Compete Coordenao de Administrao, diretamente subordinada ao Secretrio de Receita, as seguintes atividades bsicas: Coordenar e, por intermdio dos rgos a ele subordinados, executar as atividades de administrao financeira, de material, de pessoal ativo, inativo e pensionista, e de servios gerais da Secretaria; Elaborar as normas internas relativas administrao geral, respeitada a orientao definida pelos rgos centrais; Elaborar a programao e supervisionar a execuo dos trabalhos dos rgos que lhe so diretamente subordinados; Prestar apoio operacional a todos os rgos subordinados secretaria; Coordenar a gesto oramentria da secretaria; Coordenar e controlar a execuo dos trabalhos das gerncias de recursos humanos, de administrao financeira e de material e de apoio logstico; Coordenar as atividades referentes s operaes patrimoniais internas, procedendo ao registro e ao controle dos bens mveis e imveis;

71 Propor normas e procedimentos para registro e controle dos bens patrimoniais prprios; Elaborar a programao financeira mensal da secretaria; e Coordenar e controlar a execuo financeira da secretaria.

4.4.2. Coordenao de Informtica Compete Coordenao de Tecnologia e Informao as seguintes atividades bsicas: Planejar, coordenar, supervisionar e orientar as atividades de informatizao da Secretaria de Receita; Desenvolver e administrar os sistemas internos da Secretaria de Receita; Treinar usurios na utilizao dos sistemas; Registrar e controlar as ocorrncias de defeitos tcnicos; Prestar assistncia tcnica preventiva aos equipamentos de informtica; Realizar auditorias em softwares e hardwares; e Executar de forma sistmica as rotinas estabelecidas para a proteo dos dados (backups). 4.4.3. Departamento de Tributao Compete ao Departamento de Tributao, rgo de direo executiva, diretamente subordinado ao Secretrio de Receita as seguintes atividades: Propor alteraes na legislao tributria estadual; Prestar esclarecimentos sobre a aplicao da legislao tributria; Acompanhar junto Procuradoria Geral do Estado as aes judiciais contra a Secretaria de Receita; Analisar solicitaes de benefcios fiscais; Analisar e relatar, em primeira instncia, o contencioso administrativo fiscal; e Atender a diligncias do Tribunal Administrativo de Recursos Fiscais.

72 4.4.4. Departamento de Arrecadao Compete ao Departamento de Arrecadao, rgo de direo executiva, diretamente subordinado ao Secretrio de Receita as seguintes atividades: Realizar estudos com o objetivo de estabelecer as metas de arrecadao e fornecer subsdios para a elaborao dos planos anual e plurianual; Controlar a arrecadao de tributos e a execuo dos convnios celebrados com os agentes arrecadadores; Processar e controlar os documentos de arrecadao e de acompanhamento da receita; Acompanhar e controlar o parcelamento de dbitos fiscais; Inscrever, notificar, controlar e baixar os dbitos em dvida ativa; Administrar e manter os cadastros de contribuintes; e Acompanhar os registros de informaes de cadastro de veculos automotores.

4.4.5. Departamento de Fiscalizao Compete ao Departamento de Fiscalizao Tributria, rgo de direo executiva, diretamente subordinado Secretrio de Receita, as seguintes atividades: Estabelecer o programa de ao fiscal e realizar o seu acompanhamento; Monitorar e auditar estabelecimentos industriais, comerciais e prestadores de servios; Realizar fiscalizaes itinerantes; e Administrar os postos fiscais e depsitos de mercadorias apreendidas.

4.4.6. Departamento de Atendimento ao Contribuinte Compete ao Departamento de Atendimento ao Contribuinte, rgo de direo executiva, diretamente subordinado ao Secretrio de Receita as seguintes atividades bsicas: Propor normas para sistematizar o atendimento aos contribuintes; Realizar o atendimento remoto ao contribuinte; Operar os sistemas de registro de consultas tcnicas (call center); e

73 Promover o atendimento direto aos contribuintes.

4.5. PERFIL DO USURIO As Secretarias de Receita aparecem em todos os estados como uma das unidades do Governo que opera baseada num quadro de funcionrios de carreira detentores das maiores qualificaes tcnicas, sendo este composto por Auditores Fiscais e Tcnicos Tributrios. Alm dos servidores pertencentes aos quadros permanentes comum serem identificados alguns funcionrios externos, prestadores de servios, normalmente ligados s atividades de processamento de dados, tanto no desenvolvimento de sistemas quanto na produo dos mesmos. 4.6. INTERAO COM OUTRAS ORGANIZAES Devido natureza das atividades que exercem, as Secretarias de Receita necessitam de uma constante interao com as seguintes entidades: Contribuintes Procuradoria Poder judicirio Imprensa Assemblias legislativas Institutos de pesquisas Contabilistas Bancos Entidades de Classe Tribunais de Contas Ministrio Pblico Fiscos Estaduais Fornecedores diversos Ministrio da Fazenda Receita Federal. Banco Central CVM

4.7. PERSPECTIVAS DE EVOLUO As unidades de administrao das Secretarias de Receita sofreram um grande impacto decorrente da especializao das demandas por informaes gerenciais resultantes do tratamento de um volume cada vez maior de dados relativos a declaraes e recolhimentos de tributos. Anteriormente Constituio Federal de 1998, os governos salvavam-se dos dbitos oramentrios elevando a carga tributria por meio de um sem nmero de manobras legais, tais como aumento de alquotas e criao de novas taxas e contribuies sem o devido estudo de viabilidade econmica. Aliados a estas facilidades, contavam ainda com as manobras financeiras decorrentes da espiral inflacionria.

74 At o incio da dcada de 90 observou-se uma estrutura onde os contribuintes de uma forma geral e a rede bancria enviavam enormes quantidades de papel s Secretarias de Receita que se desdobravam num oneroso processo de captao gerando, invariavelmente, outros relatrios pouco operacionais, conforme ilustrado a seguir, tendo como principais ameaas: Invaso interna; Defeitos nos sistemas aplicativos; Falha em equipamentos; e Inexistncia de cpias sistmicas de segurana.
CONTRIBUINTES BANCOS

PAGAMENTOS DE IMPOSTOS

DE

CAPTAO EMISSO

PA

RESUMO DE DECLARAES

DOCUMENTOS DE ARRECADAO

PROCESSAMENTO

SADAS EM VDEO

RELATRIOS OPERACIONAIS

RELATRIOS OPERACIONAIS

Figura 8 Modelo observado no final da dcada de 1980 na maioria das Secretarias de Receita.

A simples gerao de relatrios operacionais passou a no atender a especializao ocorrida nas demandas ao enorme volume de dados que se apresentava para tratamento. Devemos ressaltar que outros fatores contriburam para uma mudana de forma de trabalho, dentre eles o barateamento dos componentes de informtica, tais como processadores, e, principalmente, unidades de armazenamento. A popularizao de novos meios de armazenamento, como os discos magnticos portteis e sistemas destinados automao de pequenos e mdios escritrios, facilitaram o surgimento de uma nova fase na administrao tributria onde a mesma eliminou sua digitao interna e passou a captar seus dados declaratrios diretamente de dispositivos

75 enviados pelos contribuintes. Alm destes, os dados resultantes de pagamentos passaram a ser recebidos diretamente em meio magntico da rede bancria. Neste modelo os contribuintes, verdadeiros donos dos dados armazenados nas suas respectivas organizaes de administrao tributria, ainda mantinham-se passivos no processo, apresentando suas informaes mas no tendo acesso a elas. Esta conformao, mostrada na Figura 9, trouxe uma nova forma de ambiente com um visvel aumento no volume de dados processados e o aumento dos seguintes riscos: Invases internas; Falhas nos equipamentos; Armazenamento inadequado; Incompatibilidades nas tecnologias de armazenamento; Inexistncia de cpias sistmicas de segurana; Defeitos nos sistemas aplicativos; e Vrus.
CONTRIBUINTES

PAGAMENTOS DE IMPOSTOS

BANCOS

CAPTAO E EMISSO

DECLARAES

DOCUMENTOS DE ARRECADAO

PROCESSAMENTO

SADAS EM VDEO

RELATRIOS OPERACIONAIS

RELATRIOS GERENCIAIS

Figura 9 Modelo observado na primeira metade da dcada de 1990

76 Com a especializao das redes e principalmente a disseminao e estabilidade da Internet ocorreu uma nova mudana a partir da qual os agentes que interagem com as organizaes de administrao tributria passaram a obter os servios desejados diretamente a partir dos cadastros bsicos residentes naqueles rgos e previamente processados por eles. Alm dos riscos existentes nos modelos anteriores, esta modalidade, ilustrada a seguir, agregou novos riscos considerados de difcil controle conforme a relao abaixo: Invases externas; Vrus especialistas; Defeitos nos sistemas aplicativos; Falhas nos equipamentos; Armazenamento inadequado; Inexistncia de cpias sistmicas de segurana; e Defeitos nos sistemas aplicativos.
CONTRIBUINTES

BANCOS

INTERNET

REDES PRIVADAS

DEC E N.F.

CAPTAO E PROCESSAMENTO

PAG

DECLARAES E NOTAS FISCAIS

DOCUMENTOS DE ARRECADAO

PROCESSAMENTO
SADAS EM VDEO

RELATRIOS GERENCIAIS

Figura 10 Modelo implantado a partir da segunda metade da dcada de 1990 e observado at hoje num grande nmero Secretarias de Receita

77 Novos modelos de administrao tributria pressupem atendimentos

especializados e com a maior comodidade possvel aos contribuintes. Alm disso, pressupem extrema interligao entre todas as unidades da federao de modo que tenha seus dados cadastrais residentes em um nico local, ou seja, na sua unidade de origem e as demais tenham acesso irrestrito a eles. O sistema dever operar em modo distribudo. Outro fator que exigir uma revoluo nos padres atuais reside no fato de que todas as operaes comerciais que representem entradas ou sadas de mercadorias e servios realizadas por qualquer contribuinte devero ser informadas sua circunscrio fiscal. Esta premissa fundamental para que os novos sistemas de fiscalizao sejam eficazes. Nesta direo existem conjecturas no sentido de buscar meios tcnicos para operacionalizar um sistema onde os dados histricos fiquem armazenados nos sites dos prprios contribuintes e estejam permanentemente disponveis s Secretarias de Receita conforme o modelo a seguir:

CONTRIBUINTES

BANCOS

DECLARAES E NOTAS FISCAIS (ANALTICO)

INTERNET

DECLARAES E NOTAS FISCAIS (SINTTICO)

DOCUMENTOS DE ARRECADAO

PROCESSAMENTO
SADAS EM VDEO

Figura 11 Modelo tendncia para implantao ainda na dcada de 2000.

78 A operacionalizao com base no esquema demonstrado anteriormente uma realidade dependente exclusivamente do tempo. Internamente h um elenco de discusses sobre as atualizaes necessrias e suas formas de implementao. No campo externo ocupado pela sociedade em geral, representada pelos contribuintes, ocorre uma visvel movimentao exigindo maior transparncia e efetividade no trato dos recursos pblicos. As estruturas organizacionais tendem a se complementar com a especializao das j existentes unidades operacionais de informtica e o acrscimo de outra sub-unidade de natureza colegiada responsvel pela elaborao e manuteno de uma poltica de segurana dos recursos e informaes conforme mostra a figura a seguir:

RECEITA TRIBUTRIA

Coordenao de Administrao

Coordenao de Informtica - INF

Departamento de Tributao - TRI

Departamento de Arrecadao ARR

Departamento de Fiscalizao - FIS

Departamento de Atendimento aos Contribuintes

Junta de Recursos Fiscais - JRF

Conselho de gesto da poltica de segurana da informao

Figura 12 Modelo de organograma observado como tendncia para as Secretarias de Receita a ser implantado nos prximos anos.

4.8. MATRIZ DE USO DE DADOS A seguir apresentamos o modelo de uma matriz de uso de dados utilizada pela Secretaria de Receita de Braslia.

79

CADASTROS
Abrangncia da coletoria Acionista x capital Aditamento de contrato Aditamento do convnio Agncia bancria Alquotas Atividade econmica Atribuio de cargo Atribuio de funo Auto de infrao Requisies Autorizao de impresso de documento Fiscal Autorizao de uso de documento fiscal Autorizao para uso de documento fiscal eletrnico Categoria de estabelecimentos Categoria de veculos Classificao contbil da receita Classificao tributria da receita Classificao de produtos NCM Cdigo fiscal de operaes Cdigos de receita Conhecimentos de transporte Contratos Datas de vencimentos Denncias Documento de inscrio em dvida ativa Documentos de arrecadao Declarao mensal de servios prestados Declarao mensal de empresas de pequeno Porte Declarao mensal de micro empresas Equipamentos emissores de cupom fiscal Escalas de planto Ficha cadastral de contribuinte Grupo financeiro Guia de informao mensal de ICMS Guia de Informao sobre valor agregado Guia nacional de informao de ICMS Histrico de instituio Histrico de processos Indicador de desempenho Indicadores demogrficos Indicadores econmicos ndices de depreciao ndices de participao Item de produto Legislao e atos legais Leilo Log de auditoria Logradouros Marcas de veculos Modelos de veculos Moedas Nota fiscal

USURIOS INTERNOS TRI ARR FIS ATE ADM

C C C C C I,A,C C C C C I,A,C C C C I,A,C I,A,C C C I,A,C A,C C C C A,C C C C A,C A,C A,C C C A,C C C C C C A,C I,A,C I,A,C I,A,C I,A,C C C A,C C C C C C C C I,A,C I,A,C C C I,A,C C I,A,C C C C I,A,C C C C C C I,A,C I,A,C C C I,A,C C C I,A,C C C I,A,C A,C A,C A,C C C A,C I,A,C I,A,C I,A,C I,A,C C A,C C C C C C A,C A,C I,A,C C C C C I,A,C C C C I,A,C I,A,C C C C C C I,A,C I,A,C I,A,C C A,C C C C C A,C C C C I,A,C A,C C C C C C C C I,A,C I,A,C C I,A,C C C C C C C C C C C C I,A,C C C C C C C C I,A,C C C C C C I,A,C C C C C C C C C C C C C C C

USURIOS EXTERNOS INF

C C C C C C C C C C I,A,C C C C C C C C C C C C C C C C C C C C C C C C C C C A,C C C C C C C C C I,A,C C C C C C

JRF
C C C C C C C C C C I,A,C C C C C C C C C C C C C C C C C C C C C C C C C C C C A,C C C C C C C C C C C C C C C

CTB

OUTROS

C C C C C C

C C C C C C

C C I,A,C I,A,C C C C C C C C C C C C C C C C I,A,C I,A,C C C C C C C C C C C C C C C C

I,A,C A,C I,A,C A,C C C C C C I,A,C C I,A,C C A,C I,A,C I,A,C C I,A,C I,A,C I,A,C I,A,C C I,A,C C C C C I,A,C A,C C C C C I,A,C I,A,C A,C C C I,A,C I,A,C I,A,C C I,A,C A,C A,C C C C C C A,C C A,C C A,C A,C A,C A,C A,C A,C C A,C C A,C A,C A,C C A,C C C C C A,C A,C I,A,C A,C C A,C A,C A,C A,C A,C

I,A,C C C C I,A,C C I,A,C I,A,C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C

80
Notificaes Ordem de servio Pauta de valor de IPVA Portarias de citao Processos Recibos Regies demogrficas Termo de fiscalizao Termo de responsabilidade Tipo de documento Tipo de documento fiscal Tipo de ordem de servio Tipo de participao Tipo de processo Transferncia de crdito fiscal Transportadoras Unidade de medida Usurios de sistemas Valor de produto por municpio Vigncias C I,A,C I,A,C A,C A,C I,A,C I,A,C C I,A,C C C C C C I,A,C C C A,C I,A,C I,A,C C I,A,C A,C A,C A,C I,A,C C C I,A,C C C C C C C C C A,C C C I,A,C I,A,C A,C I,A,C A,C I,A,C C I,A,C I,A,C C C C I,A,C C C I,A,C C A,C C C C A,C C C A,C I,A,C A,C C I,A,C A,C A,C A,C A,C A,C C A,C A,C A,C A,C A,C C C C C I,A,C I,A,C C C I,A,C I,A,C I,A,C I,A,C C I,A,C C C I,A,C A,C C C C C C C C C C C C C C C C C C C C I,A,C C C C C C C C C C C C C C C C C C C C A,C C C C C C C C C C C C C C C C C

C C C C C C C

C C C C C C C

Tabela 1 - Matriz de Uso de dados

Legenda :

TRI Departamento de tributao ARR Departamento de Arrecadao FIS Departamento de Fiscalizao ATE Atendimento aos Contribuintes ADM Coordenao de Administrao INF Coordenao de Informtica JRF Junta de Recursos Fiscais. CTB Contribuintes OUTROS - Outras entidades I Incluso A Alterao C Consulta

Obs: A opo E para excluso no foi utilizada pois em sistemas de administrao tributria no ocorre a remoo de registros, apenas sua desativao.

81 5. POLTICA DE SEGURANA 5.1. ANLISE DE RISCOS Em ambientes das Secretarias de Receita onde so depositadas informaes capazes de espelhar toda a vida financeira das empresas da circunscrio, no importando seu porte ou atividade econmica, lcito prever que, com maior ou menor grau de probabilidade, ocorrero invases dos mais variados tipos capazes de causar algum impacto. De acordo com o Risk Management Guide do NIST (Junho/2001) podem-se classificar as probabilidades de ocorrncia de ameaas em 3 categorias: Alta: a fonte da ameaa altamente motivada e suficientemente capaz e as contramedidas para evitar que as vulnerabilidades se concretizem so ineficazes. Mdia: a fonte da ameaa motivada e suficientemente capaz mas as contramedidas j esto implementadas para impedir que as vulnerabilidades sejam concretizadas com sucesso; ou a fonte da ameaa no motivada para concretizar estas vulnerabilidades ou apenas parcialmente capaz de faz-lo Baixa: a fonte da ameaa no possui motivao ou capacidade ou ento, os controles para prevenir ou ao menos impedir que as vulnerabilidades se concretizem foram implementados com sucesso. Na tabela apresentada a seguir relacionamos as ameaas s quais as Secretarias de Receita esto expostas, a probabilidade de ocorrncias e os possveis impactos.

82

Ameaa Destruio acidental Configurao incorreta de sistemas

Probabilidade de ocorrncia Mdia Mdia

Impactos Sistemas vitais no disponveis Sistemas vitais no disponveis Fraude Possibilidade de processo legal contra o rgo Perda de credibilidade Fraude Fraude Sistema vitais no disponveis Destruio de informaes Sistemas vitais no disponveis Sistema vitais no disponveis Destruio de informaes Divulgao de informaes sigilosas Perda de credibilidade Destruio de informaes Divulgao de informaes sigilosas Perda de credibilidade Sistemas vitais no disponveis Sistemas vitais no disponveis Sistemas vitais no disponveis; Perda de credibilidade Perda de credibilidade; Possibilidade de processo legal Divulgao de informaes sigilosas; Perda de credibilidade Divulgao de informaes sigilosas; Possibilidade de processo legal Perda de credibilidade; Perda de receita. Fraude; Divulgao de informaes sigilosas; Possibilidade de processo legal. Fraude; Divulgao de informaes sigilosas; Possibilidade de processo legal. Fraude; Divulgao de informaes sigilosas; Possibilidade de processo legal. Fraude; Divulgao de informaes sigilosas; Possibilidade de processo legal; Sistema vitais no disponveis; e Perda de arrecadao. Perda de Credibilidade Fraude Fraude Interceptao de informao Perda de credibilidade Destruio de informao

Fornecimento inconsciente de informaes Mdia sigilosas Instalao de hardware no autorizado Instalao de software no autorizado Vrus Problemas nos sistemas operacionais Cavalos de Tria Alta Alta Alta Alta Alta

Invasores disfarados

Mdia

Desastres naturais Conflitos (guerras) Sabotagem Roubo Grampos telefnicos Monitoramento no autorizado do trfego na rede Modificao criminosa dos dados armazenados Acesso ao arquivo de senhas

Baixa Baixa Mdia Mdia Mdia Baixa Mdia Mdia

Uso de senhas frgeis

Alta

Acesso fsico no autorizado

Alta

No cumprimento de normas

Alta

Repdio Backdoor

Mdia Alta

Tabela 2 Anlise de Ameaas

83 Neste trabalho constatamos as principais vulnerabilidades com alta probabilidade de ocorrncia, sobre as quais discorremos a seguir: Divulgao de informaes sigilosas ou com restries de divulgao, que ocorre quando o funcionrio ou prestador de servio das Secretarias de Receita, que tem acesso s informaes classificadas como sigilosas, divulga-as indevidamente para outros no autorizados; Insero de informao, programas danosos ou vrus de computador sem controle de recebimento ou tratamento adequado para evitar danos, que ocorre quando funcionrios ou prestadores de servio com acesso s informaes das Secretarias de Receita inserem, sem autorizao da Gerncia de Segurana, arquivo ou programa que provoque danos na base de informao; Possibilidade de acesso/modificao da informao realizada por usurios no autorizados; Possibilidade de modificao, divulgao ou destruio de informao por aplicaes em teste ou operadas por usurios sem conhecimento do uso correto do programa; e Utilizao de endereo eletrnico de qualquer funcionrio para disponibilizao ou divulgao de informao sem o conhecimento do dono da conta. 5.1.1. Vulnerabilidades As vulnerabilidades so os pontos fracos de uma instituio que permitem ataques e so uma fonte de riscos. O levantamento das vulnerabilidades existentes fundamental para se mensurar de forma clara e enxuta quais aes, metodologias, prticas e ferramentas devem-se aplicar para garantir a integridade, confidencialidade, autenticidade e disponibilidade da informao. 5.1.1.1. Vulnerabilidades Externas Controle de acesso (visualizao, adio, alterao ou excluso da informao) sem utilizao de autenticao confivel. Falta de procedimentos de anuncia hierrquica e documentao da disponibilizao de informaes;

84 Falta de uma poltica e regras claras quanto disponibilizao da informao por outros meios (exemplo, informaes por telefone); Falta de controle do volume de acessos ao site e informaes disponibilizadas para acesso externo; Existncia de diretrio de FTP annimo; Utilizao de TFTP (uma verso simplificada do FTP que no usa senha para autenticao de usurios); e Falta de sistema de deteco de intrusos.

5.1.1.2. Vulnerabilidades Internas Falta de controle, por autenticao, das estaes; Existncia de contas padro muitos programas e pacotes de terceiros vm com contas padro com senhas padro. Contas como guest ou de Administrador; Uso de senhas fracas podem ser de contas padro com senhas padro, contas de convidados, contas compartilhadas, contas sem senha ou com senha facilmente identificvel. Utilizao, nos sistemas com autenticao, de usurios e senhas comuns (divulgao de senhas); Falta de poltica de troca e bloqueio de contas e senhas; Falta de controle de permisso de uso das estaes (policies); Falta de gerenciamento e controle de privilgios de usurios com definio clara dos perfis e permisses das contas de cada usurio; No h uma reviso peridica dos critrios, permisses dos usurios; No h definio de procedimentos e autoridades para conceber criao de contas e permisses de concesses de privilgios; Falta de controle de log quanto a acessos de usurios incluindo data e hora. Existncia de pontos de rede ociosos habilitados; Qualquer notebook, estao ou equipamento, com interface ethernet pode ser conectado a um ponto da rede e funcionar (controle de acesso ao meio fsico da LAN); Usurios no esclarecidos sobre as conseqncias do uso incorreto de informao da instituio;

85 Qualquer pessoa que tenha acesso fsico estao pode utiliz-la e pode tambm instalar ou desinstalar qualquer aplicativo (inclusive programas danosos ou modems portas dos fundos); Ferramenta antivrus sem procedimentos para atualizao peridica e possvel de ser desativada por qualquer usurio; Terminais e Workstations sem controle de tempo de conexo; Falta de controle do acesso fsico s estaes; e Falta de gerenciamento de processamento de informao sobre responsabilidade de terceirizados. 5.1.1.3. Vulnerabilidades Referentes a Correio Eletrnico Informaes no pblicas circulam dentro e fora da rede atravs de e-mail sem controle/certificao do usurio remetente; No h garantia da entrega da informao; Qualquer usurio com acesso rede interna pode enviar e-mail informando o endereo eletrnico de outro; e Arquivos anexados s so verificados contra vrus na estao.

5.1.1.4. Vulnerabilidades Referentes a Aplicaes Em muitos casos apenas um usurio responsvel pela informao sem haver, portanto, controle de log ou outro usurio para confirmar a operao (permitindo o uso danoso da informao por funcionrios insatisfeitos, por exemplo); No h controle de atualizao e uso de verses anteriores de aplicaes; Ambiente de produo, desenvolvimento e teste nico; Falta de documentao dos procedimentos de produo; Cdigo fonte de aplicaes distribudas sem controle; e Falta de regras de segurana para orientao dos desenvolvedores quanto segurana de acesso e divulgao de informao pelos programas.

86 5.1.1.5. Outras Vulnerabilidades Acessos e troca de informaes via RAS sem criptografia (VPN) ou autenticao segura (PKI por exemplo); Backups no testados ou sem controle; Falta de reviso do controle de falhas; Falta de monitorao de uso (garantir disponibilidade); No h controle de software pirata ou no homologado; Falta de procedimentos para atualizao de patches e SP (Service Pack); Facilidade para o roubo e furto de equipamentos e programas; No utilizada, com base na legislao vigente e qualquer obrigao contratual, a segurana de dados e servio, a incluso de clusula no contrato de funcionrios e prestadores de servio que especifiquem sanes em caso de tentativa de acesso no autorizado (ISO/IEC 17799:2000); No aplicada a regra: Tudo deve ser proibido a menos que expressamente permitido (ISO/IEC 17799:2000); e Falta de ferramenta de inventrio automatizado da rede (hardware e software em servidores e estaes). 5.2. NORMAS DE SEGURANA 1 - Toda e qualquer informao da Secretaria de Receita armazenada e disponibilizada por meio de recursos de informtica deve ser protegida contra acesso, alterao, destruio, divulgao de cpias no autorizadas, quer seja acidental ou intencional. 2 - A proteo da informao deve ser preventiva viabilizando o processo de recuperao de dados. 3 - O critrio de classificao das informaes dever ser designado de forma a garantir que as mesmas sejam avaliadas em duas escalas: nveis de importncia: crtica, essencial e no essencial; e nveis de sensibilidade: confidencial, uso interno e uso pblico.

4 Todo acesso informao deve ser registrado de forma a viabilizar auditoria quando necessrio.

87 5 - O direito de acesso informao est ligado posio ocupada pela pessoa dentro das Secretarias de Receita ou fora dela, e no prpria pessoa. 6 - O acesso rede das Secretarias de Receita atravs de equipamentos de usurios remotos ou de equipamento para teste dever ter aprovao da autoridade competente. 7 - Nos contratos que impliquem o manuseio de informaes das Secretarias de Receita por parte de terceiros, devem constar clusulas que garantam a observncia da poltica de segurana da mesma. 8 - O cumprimento das normas estabelecidas pela Poltica de Segurana da Informao obrigatrio a todos os usurios com direito de acesso rede. 9 - Todos os empregados, prestadores de servios e estagirios autorizados a usar os recursos da rede devem ser treinados em segurana da informao atravs de seminrios, palestras, material explicativo, folders e outros. 10 - O Departamento Geral de Informtica das Secretarias de Receita tem o dever de monitorar as informaes disponveis em todos os servidores e estaes, bem como monitorar toda a informao que trafega na rede, acompanhando rotineiramente, acessos, sanes, uso de recursos e inspecionando arquivos, conforme necessrio. 11 - Um plano de contingncia dever ser elaborado e mantido a fim de possibilitar a restaurao imediata dos servios em caso de sinistro. 12 Estas normas segurana devero ser documentadas e disponibilizadas a todas as partes interessadas.

5.3. POLTICA

DE

SEGURANA APLICADA

A PESSOAS EM

CONFORMIDADE

COM A

ISO/IEC 17799:2000 Objetivo: Reduzir os riscos de erro humano, roubo, fraude ou uso indevido de instalaes. 1. Funcionrios e prestadores de servios eventuais que acessam as instalaes de processamento da informao da Secretaria de Receita devem se comprometer, atravs de um documento escrito, em preservar o sigilo das informaes; 2. Prestadores de servios eventuais que no tenham contrato assinado devero assinar documento garantindo a segurana das informaes das bases de dados antes de terem

88 acesso as instalaes nas quais ocorrem os processamentos visando garantir e proteger a integridade das informaes armazenadas; 3. Todo funcionrio, colaborador, prestadores de servios e fornecedores (servios e equipamentos) devero ter seus dados de apresentao (identidade, CPF , CNPJ entre outros) e qualificao tcnica e profissional confirmados e verificados; 4. Todo funcionrio, prestador de servio ou colaborador ser responsvel pela segurana das informaes contidas na base de dados durante um perodo de tempo definido mesmo aps o termino do contrato de trabalho ou de prestao de servios na Secretaria de Receita; 5. Todos os usurios devero ser treinados nos procedimentos de segurana e no uso correto das instalaes de processamento da informao de forma a garantir a integridade das informaes minimizando possveis riscos de ataques e alteraes em sua base de dados; 6. A Gerncia de Segurana da Secretaria de Receita supervisionar a atuao de colaboradores novos e inexperientes com relao aos acessos a sistemas considerados de maior importncia; 7. O gerente de cada rea dever constantemente supervisionar a atuao de sua equipe de trabalho certificando-se do uso e implementao das regras bsicas de segurana da informao; 8. Todos os usurios do sistema de informao devem estar conscientes dos procedimentos para notificao dos incidentes como violao de segurana, ameaas, falhas ou mal funcionamento que possam ter impactos na segurana dos ativos organizacionais; 9. Todo usurio do sistema dever notificar o mal funcionamento de software Gerncia de Segurana, no devendo executar nenhum tipo de ao, como remoo e software suspeito sem a devida autorizao da mesma; 10. Todas as regras e responsabilidades de segurana da Secretaria de Receita devem ser documentadas e divulgadas a todos que possuam acesso ao sistema em concordncia com a Poltica de Segurana da mesma; 11. Ser proibida a instalao de quaisquer programas pelos usurios visando proteger a base de dados contra vrus ou instalao de softwares piratas; 12. Ser definido um processo disciplinar formal para tratar com os usurios que tenham violado as polticas e procedimentos de segurana estabelecidas e implementadas pela Gerncia de Segurana;

89 13. Dever existir um procedimento de orientao a todos os usurios do sistema de informao da Secretaria de Receita quanto ao acesso de recursos e servios oferecidos na Internet quando os mesmos forem de procedncia duvidosa ou desconhecida. 5.4. POLTICA DE SEGURANA LGICA Objetivo: Reduzir os riscos relacionados s configuraes lgicas dos sistemas e acessos. 1. A poltica antivrus ser feita de modo sistemtico atravs de e-mails semanais em forma de notcias, notas de esclarecimentos, ou palestras, visando manter a integridade da base de informaes da Secretaria de Receita ; 2. Qualquer notcia recebida sobre vrus atravs do correio eletrnico, que no for do comit antivrus, no poder ser repassada adiante. Dever ser remetida para o Conselho de Segurana que analisar o contedo e remeter notas esclarecedoras ao interessado; 3. A atualizao do antivrus ser feita de forma automatizada em todos os computadores da rede, alm do sistema de defesa nos servidores, protegendo a base de dados de ataques de novos vrus; 4. Ser proibida a abertura de arquivos executveis, isto , com terminao .exe, .com, .pif, . bat, e outros, recebidos por e-mail para impedir que estes arquivos transfiram para a rede algum tipo de vrus que possa prejudicar o sistema de informao; 5. As senhas devero conter no mnimo oito caracteres entre letras maisculas e minsculas, caracteres especiais e nmeros inviabilizando o uso de nomes de familiares ou datas que poderiam ser facilmente descobertas; 6. As senhas dos usurios do sistema de informaes devero ser trocadas a cada 30 dias e sero canceladas, por falta de uso, em 10 dias. 7. A conta do usurio ser bloqueada aps trs tentativas erradas de logon e somente ser desbloqueada mediante autorizao do Gerente de Segurana. 8. As ltimas 5 senhas devero ser registradas na base de dados e no podero ser repetidas pelos usurios do sistema de informao;

90 9. As senhas no devero ser compartilhadas ou anotadas visando proteger as informaes do acesso de pessoas no autorizadas; 10. O usurio ser automaticamente desconectado se ficar sem usar o sistema por mais de 15 minutos (time-out) para evitar o uso do mesmo por outro usurio que poder estar mal intencionado quanto ao acesso e consulta das informaes ; 11. Os microcomputadores em rede devero possuir senha no setup e devem estar configurados de forma a no permitir o boot por unidade de discos flexveis ou Cdrom. 12. O suporte a equipamentos de informtica s poder ser prestado por tcnicos do Departamento Geral de Informtica ou com o acompanhamento deste, aps registro no sistema de controles de help desk. 13. A utilizao de sistemas ou de permisso de uso de microcomputadores dever ser solicitada formalmente ao Departamento Geral de Informtica. 14. O compartilhamento de arquivos, diretrios e outros recursos s ser efetuado por tcnicos do Departamento Geral de Informtica e de forma a no comprometer os requisitos mnimos de segurana; 15. Dever ser instalado na rede um software para deteco de intrusos (IDS) para identificao de qualquer tipo de intruso que possa prejudicar o sistema de informaes da Secretaria de Receita; 16. Devero ser estabelecidos procedimentos de rotina para execuo das cpias de arquivos e disponibilizao dos recursos de reserva; 17. Dever ser elaborado um plano de contingncia para recuperao de informaes da base de dados da Secretaria de Receita em caso de ataques diversos, ou desastres; 18. Dever ser garantida e protegida toda infra-estrutura das redes fsicas da Secretaria de Receita com intuito de proteger consequentemente as informaes da rede lgica; 19. Os controles de falhas devem ser constantemente revisados e atualizados de modo a garantir a no ocorrncia de falhas por repetidas vezes; 20. Dever ser implementada uma lista de procedimentos para o gerenciamento e controle do uso de mdias removveis como fitas, discos, cartuchos e formulrios impressos

91 visando impedir a divulgao e exposio classificadas como sigilosas ou de acesso restrito. 21. O acesso remoto dever ser protegido por VPN e certificao digital (PKI). 22. Dever existir um servidor RADIUS para autenticao de usurios visando oferecer maior segurana nos acessos remotos. 23. As redes de computadores devero ser protegidas por um firewall que seja um produto bem conceituado no mercado, devidamente configurado e permanentemente atualizado, interligado a um sistema de IDS para reforar a segurana.

5.5. POLTICA

DE

SEGURANA FSICA

E DO

AMBIENTE

EM

CONFORMIDADE

COM A

ISO/IEC 17799:2000 Objetivo: Prevenir o acesso no autorizado, dano e interferncia s instalaes fsicas da organizao e sua informao. 1. As Secretarias de Receita devem usar permetros de segurana para proteger as reas que contemplam as instalaes de processamento de informaes criticas ou sensveis; 2. O permetro de segurana deve estar claramente definido e ser fisicamente consistente inviabilizando invases por algum tipo de brecha ou falha ; 3. As portas de incndio no permetro de segurana devem possuir sensores de alarmes e mola para fechamento automtico; 4. Dever existir uma superviso/vigilncia constante aos visitantes das reas de segurana atravs de registro em livro especfico no qual sero indicadas as horas de entrada e sada e a identificao do local (departamento/gerncia) para onde se dirigiu o visitante em questo; 5. Apenas pessoal autorizado poder ter acesso s instalaes de processamento de informaes sensveis, sigilosas ou crticas; 6. Devero ser utilizados controles de autenticao para autorizar e validar qualquer acesso; 7. Todos os funcionrios ou prestadores de servio devero utilizar alguma forma visvel de identificao e informar segurana sobre a presena de qualquer pessoa no identificada ou de qualquer estranho no acompanhado;

92 8. Equipamentos conectados rede local no podero possuir placas ou hardware do tipo fax modem uma vez que a mesma pode servir como porta de entrada para possveis ataques base de informaes da Secretaria de Receita; 9. Equipamentos como fotocopiadoras e mquinas de fax, devem ser instalados de forma apropriada dentro de reas de segurana para evitar acesso do pblico de modo a no comprometer a segurana da informao; 10. As portas e janelas devero ser mantidas fechadas quando no utilizadas, sendo instaladas protees externas principalmente quando essas portas e janelas se localizarem em andar trreo; 11. As instalaes de processamento da informao gerenciadas pela Secretaria de Receita devem ficar fisicamente separadas daquelas gerenciadas por terceiros ou contratados eventuais; 12. Os arquivos e as listas de telefones internas que identificam os locais de processamento das informaes sensveis no devem ser acessados pelo pblico; 13. Materiais combustveis ou perigosos devem ser guardados de forma segura a uma distncia apropriada de uma rea de segurana; 14. Equipamentos de contingncia e meios magnticos de reserva devem ser guardados a uma distncia segura para evitar danos que podem se originar em um desastre da instalao principal; 15. Todo trabalho desenvolvido em rea de segurana dever ser supervisionado por um funcionrio da Gerncia de Segurana; 16. Qualquer equipamento de gravao, seja fotografia, vdeo, som ou outro tipo de equipamento, s deve ser utilizado a partir de autorizao da alta administrao; 17. Somente pessoal autorizado previamente pelas reas de segurana da rede e das informaes podero ter acesso a rea de manipulao e suporte (carga e descarga) externa ao prdio da Secretaria de Receita ; 18. Todo o material de entrada deve ser inspecionado contra potenciais perigos antes de ser transportado para a rea na qual ser utilizado, sendo o mesmo registrado conforme orientao da Gerncia de Segurana; 19. Os equipamentos devem ser protegidos contra falhas de energia e outras anomalias na alimentao eltrica utilizando-se sempre UPS (no-breaks); 20. O sistema de energia eltrica dever incluir alm de alimentao mltipla, geradores e no-breaks visando a continuidade da operabilidade de acesso s informaes da base de dados;

93 21. O uso de qualquer equipamento para o processamento das informaes fora dos limites da Secretaria de Receita dever ser autorizado pela alta administrao da mesma; 22. Os cabeamentos eltricos e de telecomunicao que transmitem dados ou suportam servios de informao devem ser protegidos contra interceptao ou dano; 23. As linhas eltricas e de telecomunicaes dos recursos de processamento da informao devem possuir aterramento, onde possvel, ou serem submetidas a proteo alternativa adequada; 24. O cabeamento da rede dever ser protegido contra interceptaes no autorizadas ou danos, por exemplo pelo uso de condutes ou evitando a sua instalao atravs de reas pblicas; 25. Os cabos eltricos devem ficar separados dos cabos de comunicao para prevenir interferncias; 26. Todo equipamento dever ter sua manuteno revista de tempos em tempos, segundo a orientao do fabricante do mesmo, evitando que a ocorrncia de falhas possa prejudicar o acesso base de informaes; 27. Deve-se usar uma cobertura adequada de seguro para proteger os equipamentos existentes fora das instalaes da Secretaria de Receita; 28. Papis e meios magnticos de computadores devem ser guardados em gavetas adequadas com fechaduras ou em outros itens de mobilirios seguros quando no estiverem sendo utilizados, especialmente fora do horrio normal de trabalho; 29. Computadores pessoais, terminais de computador e impressoras no devem ser deixados ligados quando no assistidos e devem ser protegidos com senhas, chaves ou outros controles quando no estiverem em uso; 30. Informaes sensveis e classificadas, quando impressas, devem ser retiradas da impressora rapidamente; 31. Equipamentos, informaes ou software no devem ser retirados da instituio sem autorizao; 32. A sala do CPD dever permanecer trancada com acesso livre apenas ao pessoal autorizado da Gerncia de Segurana; 33. Os equipamentos servidores e dispositivos que caracterizam o CPD devero estar em uma sala devidamente climatizada com controle de acesso; 34. Todos os microcomputadores em rede devero possuir chave de segurana para travamento da CPU, no permitindo, portanto, o acesso por pessoa no autorizada ao interior do equipamento.

94 35. As mdias de backup devero ser acondicionadas em cofre com caractersticas especiais para suportar incndios e outros tipos de intempries; 36. O CPD dever possuir um sistema de deteco/alarme e combate automtico para caso de incndio; 37. Todas as salas internas do CPD devero possuir extintores para combate de incndio eltrico (CO2/P qumico); 38. Todas as sadas de emergncia devero estar claramente identificadas e desimpedidas visando facilitar a fuga, caso necessrio; 39. O backup dos dados dever ser feito diariamente de forma incremental e semanalmente de forma completa; e 40. Dever existir um sistema de iluminao alternativa para o CPD e reas de fuga. 5.6. APLICABILIDADE A Poltica de Segurana das Secretarias de Receita ser aplicvel a todo funcionrio ou prestador de servio que tenha acesso s dependncias da mesma. 5.7. RESPONSABILIDADE Todo funcionrio ou prestador de servio das Secretarias de Receita ser responsvel pelo cumprimento das orientaes estabelecidas na Poltica de Segurana, contudo, cabe aos gerentes de cada departamento o controle e o acompanhamento do cumprimento das mesmas. 5.8. SANES Aos usurios que, de forma intencional ou no, desrespeitarem as normas estabelecidas pelo Conselho de Segurana das Secretarias de Receita sero aplicadas as seguintes sanes: Advertncia verbal; Advertncia escrita; Suspenso do direito de uso de servio da intranet;

95 Suspenso do direito de uso de servios oferecidos pela rede Secretarias de Receita por tempo determinado; e Demisso. Observao: A aplicao destas sanes no isenta o usurio da base de dados das Secretarias de Receita de sofrer outras penalidades previstas em Regulamentos Internos da Secretaria, ou mesmo de sofrer processos penais por crimes de peculato, de extravio, sonegao e inutilizao de livro ou documento, de condescendncia criminosa, de violao de sigilo funcional entre outros estabelecidos no cdigo penal. 5.9. PLANO DE CONTINGNCIA O Plano de Contingncia da Secretaria de Receita ser formado por dois componentes distintos, que so o Plano de Ao para Emergncias e o Plano de Recuperao de Desastres. Ambos os planos ajudaro as Secretarias de Receita a proteger sua capacidade de processar dados. O propsito do Plano de Ao para Emergncias prevenir e/ou limitar os danos aos recursos de informao. O propsito do Plano de Recuperao restaurar de maneira segura as operaes aps a conteno dos danos. 5.9.1.1 Plano de Ao para Emergncias O plano de ao composto do seguintes itens: A primeira seo um inventrio completo de todos os recursos de informao e uma avaliao de sua criticidade; A segunda seo a identificao de possveis ameaas s operaes do site das Secretarias de Receita e as contramedidas existentes/propostas para cada ameaa; e A terceira seo o procedimento de resposta imediata documentando aes remediais a serem tomadas aps a identificao das ameaas. O desenvolvimento e manuteno do plano de ao deve ser feito da seguinte forma: O Gerente da Rede/Especialista em TI, os encarregados da segurana e outros membros do staff devem realizar um inventrio dos recursos e,

96 subseqentemente, determinar a criticidade de cada recurso identificado usando o formato fornecido mais adiante; O Gerente da Rede/Especialista em TI, os encarregados da segurana e outros membros do staff devem em seguida identificar as possveis ameaas a estes recursos e as devidas contramedidas existentes ou propostas, usando o formato fornecido neste documento; O Gerente da Rede/Especialista em TI, os encarregados da segurana e outros membros do staff devem formular um Procedimento Imediato de Resposta usando a informao fornecida neste documento; Sempre que houver uma compra significativa de novos recursos de informao, o Plano de Ao deve ser atualizado para refletir tais mudanas; e O Gerente da Rede/Especialista em TI e o encarregado da segurana devem rever anualmente o contedo deste plano e fazer as devidas mudanas sempre que necessrio. 5.9.2.2 Contagem dos Recursos e Avaliao de Criticidade A contagem dos recursos e avaliao de criticidade identificam todos os recursos de informao e depois documentam a criticidade dos mesmos. Os recursos identificados devem incluir hardware e software, perifricos, armazenagem de mdia, mquinas de fax, modems, sistemas de controle climtico, documentao e pessoal. Recursos tambm incluem servios tais como telefonia, eletricidade e internet. A criticidade destes recursos deve ser determinada em termos de quanto tempo as Secretarias podem funcionar sem eles. Para fins de uniformidade uma escala de 0 a 5 deve ser usada e definida da seguinte forma: 0 a Secretaria pode funcionar indefinidamente sem este recurso 1 a Secretaria pode funcionar at um ms sem este recurso 2 - a Secretaria pode funcionar at duas semanas sem este recurso 3 - a Secretaria pode funcionar at uma semana sem este recurso 4 - a Secretaria pode funcionar at um dia sem este recurso 5 - a Secretaria pode funcionar at quatro horas sem este recurso

97 O quadro um exemplo de como pode ser feita a contagem e classificao de recursos: CRITI 4 3 2 4 4 1 4 5 5 4 3 QUANT 1 1 5 3 5 2 10 1 1 2 4 DESCRIO DO RECURSO Pentium/800 server: 128MB RAM, 1.44MB FD, 14GB HD, Monitor Pentium/800 server: 128MB RAM, 1.44MB FD, 9GB HD, Monitor CD-ROM 10BASE-T Transceiver HP Laserjet 4500 32 bit NIC card (extra) MS Office 97 Servio de telefonia Eletricidade Pessoal operacional Extintores de incndio (gua)

Tabela 3 Contagem de Recursos

5.9.2. Identificao de Ameaas e Contramedidas Ameaa qualquer circunstncia ou evento com potencial para comprometer e/ou interromper as operaes dirias de uma instituio. Ameaas so vistas como sendo de natureza fsica, ambiental, e relacionadas a suporte. Os sites da Secretaria de Receita tornam-se vulnerveis quando contramedidas no forem implementadas para impedir ou diminuir o impactos de todas as ameaas identificadas. Ameaas so concretizadas quando uma ou mais vulnerabilidades so exploradas. A seguir encontra-se uma lista abrangente de ameaas divididas em trs categorias distintas. Esta lista no tem a pretenso de ser exaustiva. H vrias outras possveis ameaas particulares a cada unidade das Secretarias de Receita. Esta lista tem como objetivo servir de base para a identificao das ameaas existentes nas Secretaria de Receita em geral.

98

AMBIENTAIS
- Fogo - Enchente - Exploses - Raios - Condies climticas adversas - Fumaa - Poeira - Insetos - Vapores qumicos - Roedores - Interferncia eletromagntica - Descarga Eletrosttica - Ativao de sprinklers - Vazamento de gua

FSICAS
- Acesso no autorizado s instalaes - Transporte inadequado de equipamentos - Montagem/Armazenamento incorreto - Derramamento/queda - Riscos de acidentes de viagem - Roubo - Sabotagem - Vandalismo - Extorso - Terrorismo/ameaa de bomba - Supresso Inadequada de Incndio

RELATIVAS A SUPORTE
- Queda de energia - Rudo eltrico/aterramento inadequado - Temperaturas instveis - Umidade excessiva - Manuteno imprpria - Indisponibilidade de pessoal - Falha no sistema de telefonia

Tabela 4 Identificao de Ameaas

Cada Secretaria de Receita deve escolher a lista de ameaas que diz respeito a qualquer recurso de informao em sua localidade, independente das contramedidas. Aps a identificao de todas as possveis ameaas, a Secretaria de Receita deve avali-las e delinear todas as contramedidas existentes ou propostas para cada ameaa aos recursos. As Secretarias de Receita devem fazer uma distino entre as contramedidas existentes e as propostas. Caso as contramedidas propostas no possam ser implementadas em tempo, uma soluo provisria deve ser identificada.

99 Mostramos a seguir o exemplo de uma relao das ameaas e suas contramedidas: AMEAA 1. Fogo CONTRAMEDIDA Ter um sistema de sprinklers espalhados por todo o prdio. Extintores de incndio disponveis em locais de fcil acesso em todo o prdio. **Prope-se a instalao de equipamento de identificao e combate a incndio na sala do servidor.** Soluo provisria instalao de extintores de dixido de carbono na sala do servidor. Ter um acordo com outra organizao onde uma apie a outra em caso de exploso. Pra-raios instalados no teto. **Prope-se a instalao de UPS para os servidores. Detetores de fumaa em todo o prdio. Fazer limpeza completa do prdio. Manuteno preventiva com limpeza de todo o equipamento. Filtros de ar instalados na sala do servidor e trocados mensalmente. Colocar telas em todas as portas e janelas. Possuir um gerador para suportar todo o prdio. ***Propem-se que eletricistas e o pessoal de manuteno dos computadores revisem e consertem todo o aterramento. Fazer uma lista com os nmeros de telefone do pessoal de operaes e suporte para os casos de emergncia. Manter trancadas as reas de acesso. Ativar alarmes fora do horrio de expediente. Ter todos os equipamentos instalados corretamente para reduzir a possibilidade de pancada ou queda. A rea de armazenagem deve ser fora da sala do computador com acesso e temperatura controlados. Todos os equipamentos devem ser posicionados longe de reas com muito movimento. Colocao de trancas em todas as reas de acesso. Todos os extintores de incndio com gua devem ser removidos da sala do servidor.

2. Exploso 3. Raio 4. Fumaa 5. Poeira 6. Insetos 7. Queda de energia eltrica 8. Aterramento inadequado 9. Indisponibilidade de pessoal 10. Acesso no autorizado 11. Montagem/ Armazenamento Incorreto 14. Coliso 15. Roubo 16. Supresso Incorreta de Incndio

Tabela 5 Ameaas e Contramedidas

5.9.2 Procedimento de Resposta Imediata O propsito do Procedimento de Resposta Imediata limitar os danos no caso de uma ameaa contra um recurso de informao se concretizar ou ser iminente. Este procedimento deve documentar aes corretivas em ordem de execuo e indivduos e/ou organizaes especificas a serem contatadas.

100 No mnimo as seguintes informaes devem ser includas no procedimento de resposta imediata e verificadas a cada trs meses: 1) Instrues detalhadas das aes corretivas para as ameaas existentes (tais como fogo, vazamento de gua, queda de energia, entre outros); 2) Os nomes, nmeros de telefones de emergncia do encarregado de ativar o plano de contingncia, do gerente da rede, do encarregado da segurana de sistemas, do pessoal operacional, e do pessoal de manuteno dos sistemas; e 3) Nmero de telefone da polcia, bombeiros e hospitais locais. 5.9.3 Plano de Recuperao de Desastre Este um plano que facilita a segura restaurao das operaes do sistema aps a concretizao de uma ameaa e a conteno dos danos. O propsito deste plano reduzir o impacto de um desastre atravs de uma rpida recuperao. A recuperao efetuada por meio de coordenao e efetiva utilizao de todos os recursos de informao disponveis. Este plano prev uma resposta regional ou global a desastres atravs de esforos combinados entre as Secretarias de Receita. Esta resposta deve adotar o conceito de compartilhamento e/ou redirecionamento de recursos sobressalentes de informao entre as diversas unidades das Secretarias de Receita. Este conceito incentiva o apoio mtuo entre as unidades sem incorrer em custos adicionas substanciais. 5.10. AUDITORIA Auditar e ouvir so sinnimos, pois vm do verbo latino auditare, portanto auditoria ouvir as informaes sobre um processo, a fim de transform-las em correes ou melhorias deste processo. Auditar um processo, gerar conhecimento de suas vrias etapas. A eficcia da auditoria depender de sua continuidade e de seu dinamismo em acompanhar um processo em seu desenvolvimento. A auditoria tem o papel de colher informaes e transform-las em conhecimento. a principal auxiliar na administrao de um sistema de dados, pois a eficcia administrativa est na aplicao dos conhecimentos continuamente adquiridos.

101

Figura 13 - Formao da Cultura de Segurana

Para um processo de auditoria em uma instituio pblica, necessrio obter informaes sobre o sistema com usurios, dados, equipamentos e ambiente, ou melhor, audit-los, como a forma mais eficaz de conhecer o processo e os seus procedimentos, aplicados rea de segurana de rede no ambiente de uma instituio tributria. Para adequao da auditoria de sistemas de dados a uma poltica correta de segurana, este trabalho tem como base as recomendaes ISO/IEC 17799:2000 para auditorias e apresenta em sua metodologia sugestes de diversos autores citados no decorrer do desenvolvimento. 5.10.1. Recomendaes ISO/IEC 17799:2000 A auditoria tem com objetivo: Maximizar a eficcia e minimizar interferncia no processo de auditoria de sistemas. Devem existir controles para salvaguardar os sistemas operacionais e ferramentas durante as auditorias de sistemas. Proteo tambm necessria para salvaguardar a integridade e prevenir o uso imprprio das ferramentas de auditoria. Estas trs primeiras diretrizes so as mximas que devem reger toda ao de aplicao de auditoria em qualquer tipo instituio, pois nos garante a aplicao limpa e didtica da ao auditora.

102 As auditorias requerem atividades, envolvendo verificaes nos sistemas operacionais que devem ser cuidadosamente planejadas e acordadas para minimizar riscos de interrupo dos processos do negcio. Requisitos de auditorias devem ser acordados com a administrao apropriada. Escopo da verificao deve ser acordado e controlado. A verificao deve ser limitada para acesso ao software e aos dados somente paraleitura. Outros acessos diferentes de apenas leitura devem somente ser permitidos a cpias isoladas de artigos do sistema, que devem ser apagadas quando a auditoria for finalizada. Os recursos de tecnologia para execuo da verificao devem ser identificados explicitamente e tornados disponveis. Requisitos adicionais ou especiais devem ser identificados e acordados. As normas ISO/IEC 17799:2000 citadas anteriormente harmonizam a ao auditora ao ambiente operacional auditado, ampliando a troca de informao e conhecimento sobre o modus operare do processo, facilitando os ajustes e correes de falhas, dada apropriada cumplicidade adquirida no processo auditado. Todo o acesso deve ser monitorado e registrado de modo a produzir uma trilha de referncia. Todos os procedimentos, requerimentos e responsabilidades devem ser documentados (ISO/IEC 17799:2000). Estas ltimas normas a partir de seus registros e documentos daro o subsdio para debates e discusses que iro aprimorar as diretrizes e normas da poltica de segurana no decorrer do tempo, respondendo dinamicamente s ameaas e riscos que futuramente podero surgir. 5.10.2. Tipos de Auditoria Propostos Aplicao de Auditoria Interna e Externa tem sido empregada com bastante xito em vrias empresas privadas ou pblicas. As auditorias internas so mantidas com recursos e funcionrios da prpria empresa, em sua maioria da rea de informtica. Auditorias externas so formadas por firmas especializadas em auditoria de sistemas, que disponibilizam os seus servios a empresas contratantes. A melhor maneira de se colherem informaes de um sistema com as pessoas que esto vivenciando o processo atual do sistema de dados e tambm com aquelas que tm

103 muita experincia neste tipo de processo e que vivam profissionalmente de organismos especializados em auditorias que capturam estes tipos de informao nas diversas empresas auditadas e se atualizam constantemente com as inovaes do mercado. As auditorias internas tm algumas vantagens importantes: no so to perceptveis aos funcionrios quanto as auditorias externas; tm como atuar periodicamente realizando revises globais; so mais econmicas pois seus recursos so menos onerosos; atuam muito rapidamente nos casos de emergncia; so fortes fontes de consulta atualizada, principalmente nos sistemas muito especializados, ponto de apoio e base para as auditorias externas; so as guardis dos vrios planos de segurana estabelecidos pela organizao. As equipes auditoras internas so compostas por funcionrios, na sua maioria do setor de informtica, mas comumente podem ter um ou outro funcionrio ligado s reas em questo, principalmente em se tratando de reas de maior risco. Nas auditorias externas a equipe formada por funcionrios com dedicao exclusiva, que trabalham em firmas de auditoria, com especializao em sistemas. Podem somar conhecimento adquirido por experincias em outras empresas e atravs de altos graus de especializao e de renovao constante do conhecimento, uma vez que se dedicam com exclusividade a este ramo de negcio. Comumente se espera uma maior objetividade por partes destas empresas. O emprego das duas auditorias, interna e externa, chamado de auditoria articulada, devido superposio de responsabilidades e uso comum de recursos. Esta constitui a auditoria de melhor proveito para colher informaes e adquirir conhecimentos sobre sistema de informao de dados. As auditorias interna e externa devem estar ligadas hierarquicamente ao Comit de Segurana, o qual poder convoc-las ou dissolv-las. Seus relatrios e documentos so de uso exclusivo deste comit. 5.10.3. Quando Devem ser Feitas as Auditorias A auditoria advm da necessidade de que um sistema de dados seja seguro agora e continue sendo seguro no futuro, como condio sine qua non continuidade do negcio, por isso a necessidade de correo freqente e continuada de seu sistema de segurana. evidente que no poder haver regra de periodicidade muito rgida para que sejam feitas estas auditorias. Isto depender de muitos fatores, tais como grau de conscientizao e aprendizado de usurios e administradores e da conceituao da poltica

104 de segurana empregada, dos sistemas lgicos, fsicos e ambientas das unidades de informao. Sero usadas algumas recomendaes de Wietse Venema & Dan Farmer (1996) para distribuir as Auditorias em relao ao tempo:

Antes do funcionamento da rede; Agendadas de manuteno; e Auditoria Emergencial. de

Na auditoria antes do funcionamento deve-se fazer uma anlise do grau politicamente e fisicamente a rede para a reduo dos riscos de quebra de segurana.

conscientizao e vulnerabilidade, ameaas, e riscos internos e externos, j adequando As auditorias agendadas devem ser continuadas de acordo com as necessidades e padres de segurana assegurados a uma reduo de riscos de incidentes de segurana na rede. O estado crtico, a complexidade e o corpo administrativo devem ser considerados para a deciso de periodicidade para auditorias agendadas.

Estaes de trabalhos: entre 12 a 24 meses; Redes grandes: 24 meses; e as pequenas: 12 meses; e Firewall: a cada 6 meses ou menos.

As auditorias emergenciais devem ocorrer logo aps o incidente de segurana, devendo-se fazer primeiro uma anlise dos estragos, atravs da verificao de integridade do sistema antes do acidente. Alguns programas de integridade podem ajudar na identificao de mudanas ocorridas. 5.10.4. Como Auditar A preparao da auditoria passa pela criao de um ambiente propcio sua implementao, no qual devemos desenvolver o comprometimento da alta gerncia sua implantao como premissa para xito do empreendimento. Tambm nas gerncias imediatas e subalternas deve haver comprometimento como reforo adicional. O comprometimento expresso em documento onde constam as principais diretrizes da poltica de segurana, como seu objetivo em contexto aos objetivos estratgicos e dos negcios da Secretaria de Receita como um todo.

105 O engajamento dos funcionrios premissa complementar de uma boa auditoria. Deve ser feito atravs de conferncias explicativas, estudo dirigido, debates ou outras formas didticas a fim de proporcionar o desenvolvimento de uma cultura da necessidade de auditoria permanente e atuante como fonte de alimentao da poltica de segurana. A equipe de auditoria, em decorrncia dos servios que est prestando, passa a maior parte do tempo falando com pessoas sobre procedimentos, rotinas e sistemas, discutindo os achados, resumindo as observaes e recomendaes. essencial o desenvolvimento da habilidade em entrevistas. Na apresentao o entrevistador deve atenuar a natural ansiedade do auditado. Durante a entrevista deve incentivar a oportunidade ao entrevistado de dar sugestes a problemas especficos. Na despedida deve lembrar que no esto encerrados os contatos, pois haver novos encontros em outras ocasies, j que auditorias so instrumentos contnuos de melhoria do sistema e aperfeioamento da poltica de segurana. As modalidades de entrevistas podem ser: contato pelo correio, contato telefnico e contato direto. A remessa de carta via correio no pode ser considerada uma entrevista, mas um contato onde no necessria a presena do entrevistado. Comumente usada quando o universo muito grande e disperso geograficamente, pois h uma reduo considervel de custo nestes casos, mas o nmero de respostas muito baixo dificultando a anlise dos resultados obtidos. O contato telefnico atinge um grande nmero de pessoas em um tempo de trabalho curto, pois o tempo deve variar entre 30 a 15 minutos sendo o ideal apenas 15 minutos, mas perde a observao do entrevistador das reaes no verbais do entrevistado e tambm o calor humano que muito importante para estabelecimento de um ambiente de cooperao mtua entre auditor e auditado. Nas entrevistas de contato direto pode-se estabelecer de maneira mais fcil um contado amistoso com o auditado, onde se desenvolve um ambiente propcio confiana e cooperao, que proporcionar as trocas de informao sobre os procedimentos, rotinas e sistemas, em cada uma das etapas do processo em abordagem. A habilidade do entrevistador de suma importncia para este clima. A cada trmino de entrevista devem-se recapitular perguntas respondidas e as informaes obtidas que sero devidamente registradas e mostradas ao entrevistado como sua contribuio auditoria.

106 5.10.5. Metodologia Nesta ltima dcada vrias metodologias de auditoria foram criadas dada a necessidade de desenvolvimento da poltica segurana em TI. Pelo menos cinco documentos foram publicados por instituies diferentes com o intuito de definir acessos, relatos e melhorias no controle interno em TI, como o do Information Systems Audit and Control Foundation, o Control Objectives for Information and related Technology (CobiT 1996, 1998, 3 edio em julho de 2000), o do Institute of Internal Auditors Research Foundation, o Systems Auditability and Control (SAC 1991, revisada em 1994), o do Committee of Sponsoring Organizations of the Treadway Commission, Internal ControlIntegrated Framework (COSO 1992), o do American Institute of Certified Public Accountant, o Consideration of the Internal Control Structure in a Financial Statement Audit (SAS 55,1988), e a sua emenda (SAS 55/78, 1995), mostraremos o quadro comparativo de suas diferenas no Anexo I. A metodologia empregada pela auditoria CobiT incorpora vrias fontes conceituais de outras metodologias como a SAC e a COSO, que por sua vez absorveram os conceitos de controle interno do SAS 55/78. A definio conceitual CobiT adapta o controle do COSO: As polticas, procedimentos, prticas e estruturas organizacionais so orientadas para prover uma razovel garantia, de modo que o objetivo dos negcios seja alcanado, e que eventos no desejados sejam evitados ou detectados e corrigidos. A metodologia CobiT orientada em dois pontos de apoio: Objetivos ou Metas do Negcio e a Governana em TI. No primeiro ponto esto as metas das Secretarias de Receita que so a sua arrecadao e a distribuio do errio pblico nas diversas secretarias. O segundo ponto, a Governana de TI: Uma estrutura de relaes e processos para dirigir e controlar a empresa a fim de alcanar as metas do negcio, adicionando valor enquanto balanceia risco verso retorno em TI e seus processos (CobiT,2000). Governana de TI da responsabilidade da alta direo e da administrao executiva. uma parte integrante de governo da empresa. composta pela liderana da estrutura organizacional e o processo que garante que a TI da organizao se apie e se expanda s estratgias e aos objetivos da organizao. Os objetivos de controle se relacionam de maneira clara e distinta com os objetivos do negcio, que definidos com uma orientao aos processos, determina um incio de reengenharia nos negcios se necessrio.

107 A metodologia CobiT identifica uma ferramenta que chama de Marco Diferencial de quatro domnios que est dentro da Governana de TI que so: Planejamento e organizao; Aquisio e implementao; Suporte e distribuio; e Monitorao.

A metodologia CobiT identifica os processos de TI a cada domnio, os chamados de objetivos de controles de alto nvel, um total de 34 objetivos, que cobrem toda a estrutura no aspecto de informao e seu suporte tecnolgico. Ainda foi desenvolvido um instrumento guia de auditoria para cada um dos 34 objetivos de controles, assegurando um exame detalhado dos processos de TI. Os objetivos detalhados, num total de 318, proporcionam administrao da empresa um panorama de real cumprimento das normas e regras ou recomendaes e aprendizados para desenvolvimento de uma cultura forte em TI.

108

Figura 14 Estrutura da Metodologia COBIT Fonte: Implementation Tool Set CobiT, 3rd Edition Boston July 2000, CobiT Steering Committee and the IT governance Institute

109 6. CONCLUSO Com base no que foi apresentado e desenvolvido neste trabalho constatamos que a implementao de uma poltica de segurana de informao nas organizaes como as Secretarias de Receita tornou-se fundamental. A preocupao com a integridade, confidencialidade e autenticidade das informaes exige das organizaes uma meticulosa anlise de vulnerabilidades e riscos que ameaam suas bases de dados. importante ressaltar que tivemos algumas limitaes para a realizao deste trabalho, pois muitos detalhes tcnicos, caractersticas prprias e situaes encontradas durante o processo de levantamento de informaes no puderam ser divulgados para garantir e resguardar o funcionamento e segurana das prprias Secretarias de Receita. Mecanismos e ferramentas de defesa tais como os apresentados neste trabalho foram apresentados com o intuito de garantir a proteo das informaes consideradas sigilosas ou de acesso restrito. Neste trabalho, procurou-se sugerir s Secretarias de Receitas recursos de proteo das informaes, procedimentos de usurios, mtodos de controle atravs de auditorias e um plano de contingncia que viabilizasse a continuidade dos negcios em caso de desastres ou qualquer tipo de infortnio, baseando-nos no levantamento dos riscos, ameaas e vulnerabilidades a que este tipo de organizao esta sujeita. Nossa base de estudo para coleta de dados foi a Secretaria de Receita de BrasliaDF. Assim, faz-se necessrio que, para cada Secretaria, distribuda por todo territrio nacional, seja implementada uma poltica de segurana adaptada sua realidade. Enfatizamos a necessidade de criao e implementao importncia de que todo este processo seja constantemente auditado. Constatamos que a prtica constante de auditorias internas e externas o modo mais eficaz de ouvir e responder ao dinamismo de um processo de TI. Para apresentao deste tema, tomamos como base o sistema CobiT, elaborado e inspirado na norma ISO/IEC 17799:2000. O CobiT bastante novo e pouco conhecido, no sendo encontrado muito material a seu respeito. A ISO/IEC 17799:2000 serviu como principal fonte de referncia e base para o trabalho no que se refere aos conceitos envolvidos na implementao de uma Poltica de de planos de ao emergenciais e recuperao de informao em caso de desastres reforando ainda, a

110 Segurana de informao, anlises de riscos e vulnerabilidades de uma base de dados e principalmente na parte de controles de segurana fsica e pessoal. Apesar de ter sido primordial para a realizao deste trabalho, a norma ISO/IEC 17799:2000 uma fonte de informaes recente, no tendo sido ainda bastante divulgada para as organizaes. Existem poucos trabalhos para a consulta no aspecto da segurana de informao, o que de certa forma limitou nosso mbito de pesquisa. Com relao a parte de segurana lgica, a norma ISO/IEC 17799:2000 apresenta o tema de forma distribuda em sua maior parte, abordando separadamente os aspectos de segurana de senhas e processos criptogrficos. No h um detalhamento dos procedimentos de segurana referentes parte de software e acesso lgico rede. Em virtude desta distribuio, a proposio de uma poltica de segurana para as Secretarias de Receita, no poderia ser exclusivamente baseada na ISO/IEC 17799:2000. Os controles referentes s partes de segurana fsica e aplicada a pessoas foram, em sua maioria, retirados da ISO/IEC 17799:2000. Cerca de 30% dos mesmos foram adaptados. Com relao aos controles lgicos, 80% dos mesmos foram modificados e adaptados ao contexto do trabalho. Apesar da necessidade de complementaes, a ISO/IEC 17799:2000 , atualmente, a mais completa base de orientao para formao e consolidao de um programa de Poltica de Segurana. Diversas outras fontes bibliogrficas contriburam para a consolidao do trabalho. A apresentao das ferramentas de segurana como mtodos de criptografia, uso de firewall, anti-vrus, softwares especializados, juntamente com o estabelecimento de controles baseados na norma ISO/IEC 17799:2000, a responsabilizao dos usurios do sistema possibilitaram que o objetivo principal do trabalho fosse alcanado, ou seja, a sugesto de uma poltica de segurana eficaz para as Secretarias de Receita . Acreditamos que o uso contnuo de auditorias bem estruturadas e com metodologias adequadamente empregadas, englobando os trs elementos chaves da segurana: pessoas, dados e ambiente fsico, proporcione a criao de um ambiente de informaes resguardadas e protegidas. Esperamos, enfim, que este trabalho, pioneiro na rea de segurana de informaes para instituies governamentais que tratem de tributao e arrecadao, sirva de base e fonte de consulta para outros.

111 REFERNCIAS BIBLIOGRFICAS A Comparison of Internal Controls: CobiT, SAC, COSO and SAS 55/78; By: Janet L. Colbert, Ph.D., CPA; e Paul L. Bowen, Ph.D., CPA, 2001. Disponvel em: http://www.isaca.org/bkr_cbt3.htm. Acesso em abril de 2001. An Introduction to Computer Security: The NIST Handbook. Special Publication 800-12. National Institute of Standards and Technology, U.S. Department of Commerce. Disponvel em http://www.nist.gov. Acesso em maro de 2001. Arquitetura de Segurana, Desenvolvido pela HP para o Tribunal Superior Eleitoral. Board Briefing on It Governance. IT Governance Institute, Information Systems Audit and Control Association (ISACA), Information Systems Audit and Control Foundation, (ISACF),2001. Disponvel em http://www.isaca.org e http://www.Itgovernace.org Acesso em abril de 2001. BRASIL. Constituio Federal. Lei n. 7.716 de 1996 sobre discriminao racial; Lei No. 8.069 de 1991 sobre pornografia infantil; e Lei No. 9.296 de 96 sobre interceptao telemtica (grampo). Canadian Trusted Computer Product Evaluation Criteria (CTCPEC) vol1.vol 2 Disponvel em ftp.cse.dnd.ca. Acesso em maro de 2001. Computer Crime and Security Survey, CSI/FBI , 2001. Common Criteria Overview. Disponvel em: http://www.radium.nscs.mil/tpep/library/ ccitse/cc_over.html. Acesso em junho de 2001. Cooperation on Security of Information Systems Joint Task 01. Foundations for the Harmonization of Information Technology Security Standards; Revised Draft, Version b; Abril 1993. Department of Defense Trusted Computer System Evaluation Criteria, Orange Book: 26 December 1985 Disponvel em http://www.radium.ncsc.mil/tpep/library/rainbow/ 5200.28-STD.html. Acesso em Maro de 2001.

112 DIAS, Claudia. Segurana e Auditoria da Tecnologia da Informao. 1 Edio. Rio: Axcel Book, 2000. Federal Criteria of Information Technology Security. Vol. 1 e Vol 2 . Disponvel em http://www.undergroundnews.com/kbase/underground/hacking/fcsvol1.htm /http://www.undergroundnews.com/kbase/underground/hacking/fcsvol2.htm.Acesso em abril de 2001. GUTTMAN, Barbara; BAGWILL, Robert. Internet Security Policy: A Technical Guide NIST Special Publication 800-XX.. July, 1997. Disponvel em http://csrc.nist.gov/isptg. Acesso em maio de 2001. HELD, Gilbert. Comunicao de Dados. 6 Ed. Rio de Janeiro: Editora Campus, 1999. Implementation Tool Set CobiT. 3rd Edition Boston July 2000, CobiT Steering Committee and the IT Governance Institute. http://www.isaca.org e http://www.Itgovernace.org. Acesso em maio de 2001. Information Security management - Part 1: Code of Practice for Information Security Management; BS 7799-1:1999. Information Security Risk Assessment. United States General Accounting Office Disponvel em http://www.gao.gov. Acesso em abril de 2001. Information Technology Security Evaluation Criteria-ITSEC, Department of Trade and Industry. Disponvel em http://www.itsec.gov.uk. Acesso em maio de 2001. ISO/IEC 17799:2000. First edition 10/12/2000. Disponvel em http://www.iso.ch. Acesso em maro de 2001. OPPENHEIMER, Priscila. Projetos de Redes Top-Down. 1a. Ed. Rio: Campus, 1999. PFLEEGER, Charles. Security in Computing. Ed.2. NJ: Pearson, 1996. Rede Tch: Segurana de Dados. Universidade Federal do Rio Grande do Sul. Disponvel em http://www.cert-rs.tche.br/servicos/infosec.html. Acesso em abril de 2001.

113

RFC 2196 Site Security Handbook, 1997. Disponvel em http://www.-rn.informatik.unibremen.de/home/ftp/doc/rfc/cfc2196.txt. Acesso em maro de 2001. Risk Management Guide. NIST Special Publication 800-30. First Public Draft June 2001. Disponvel em http://www.nist.gov. Acesso em julho de 2001. ROBERTI, MICHAEL. Building an Enterprise Security Architecture. Sans Institute. Abril, 2001. www.sans.org. Acesso em junho de 2001. Seguridad Informtica. Tema: Hackers. Disponvel em http://www.monografia.com em Maio de 2001. Tcnicas de Entrevistas para Auditorias. Brasil DF TCU http://www.tcu.gov.br. Acesso em maio de 2001. TERADA, Routo. Segurana de Dados: Criptografia em Redes de Computador. 1 Ed. So Paulo: Editora Edgard Blcher, 2000. VENEMA, Wietse em april de 2001. Xcert PKI Guide 2000. Disponvel em www.xcert.com. Acesso em maro de 2001. ZACKER, Craig et DOYLE, Paul. Redes de Computadores: Configuraes, Manuteno e Expanso. 1 Edio em Portugus. So Paulo: Makron Books, 2000. & FARMER, Dan. Security Auditing & Risk Analysis. April 1998. Disponvel em

30th,1996. Santa Clara (CA). Disponvel em http://www.porcupine.org/auditing. Acesso

114 ANEXO I

Comparao de Conceitos de Controle em Auditoria1

Instituies
Audincia primria

COBIT (1996)

SAC(1991)
Auditores internos

COSO(1992)
Administrao

SAS 55(1988) /78(1995)

Auditores externos

Administrao, usurios e auditores de sistema informao Controle Interno Conjunto dos visto como processos, inclusive Polticas, Procedimentos, Prticas, e as Estruturas de Organizao Objetivos da Operaes Efetivas Organizacional em & Eficiente, Controle Internos Confidencialidade, Integridade e Disponibilidade da Informao. Relato financeiro confivel, e Obedincia s leis & regulamentos Componentes ou Domnios: Domnios Planejamento e Organizao, Aquisio e Implementao, Suporte e Distribuio, e Monitoramento Focos Tecnologia da Informao Por um perodo tempo Administrao

Conjunto de Processos, Subsistema e pessoas

Processo

Processo

Operaes Efetivas & Eficiente, Confidencialidade, Integridade e Disponibilidade da Informao. Relato financeiro confivel, e Obedincia s leis & regulamentos Componentes: Ambiente de Controle, Sistemas Manuais & Automatizados, Procedimentos de Controle Tecnologia da Informao Por um perodo tempo Administrao

Efetividade de Controle Interna Responsabilidade para Sistema de CI Formato 187 pginas em 1193 pginas em quatro documentos 12 mdulos
1

Operaes Efetivas & Eficiente, Confidencialidade, Integridade e Disponibilidade da Informao. Relato financeiro confivel, e Obedincia s leis & regulamentos Componentes: Ambiente de Controle, Avaliao de Risco Atividades de Controle, Informao & Comunicao, e Monitoramento Sobre toda a Entidade Por um tempo pontual Administrao 353 pginas em quatro volumes

Operaes Efetivas & Eficiente, Confidencialidade, Integridade e Disponibilidade da Informao. Relato financeiro confivel, e Obedincia s leis & regulamentos Componentes: Ambiente de Controle, Avaliao de Risco Atividades de Controle, Informao & Comunicao, e Monitoramento Balano Financeiro Por um perodo tempo Administrao 63 pginas em dois documentos

A Comparison Internal Controls: CobitT, SAC, COSO and SAS 55/78; By: Janet L. Colbert, Ph.D., CPA, CIA;and Paul L. Bowen, Ph.D., CPA, year 2001(http://www.isaca.org/bkr_cbt3.htm)

115

ANEXO II REQUERIMENTO Pelo presente requerimento, eu, (fulano de tal), solicito acesso aos Sistemas da Secretaria da Receita, declarando que utilizarei o mesmo somente no estrito cumprimento de minhas atividades profissionais estando de pleno acordo com as seguintes determinaes: 1) Devo cumprir fielmente as normas, polticas, procedimentos e diretrizes da Secretaria de Receita destinadas proteo de seus sistemas automatizados contra mal uso, abuso, perda ou acesso no autorizado. Compreendo que qualquer violao destes regulamentos podem resultar em ao administrativa, civil ou processo criminal, ou em demisso; 2) Devo proteger incondicionalmente o sigilo de minha senha. em caso de suspeita de comprometimento de seu segredo devo reportar o fato a meu supervisor ao administrador da rede; 3) No devo compartilhar meu identificador de acesso (id) e senha com nenhum outro indivduo; 4) Nunca devo transcrever minha senha em dispositivos ou locais que possam ser facilmente encontrados por outrem; 5) Devo criar e usar senhas com no mnimo 08 caracteres compostas de letras maisculas, minsculas, caracteres especiais e nmeros, devendo ainda, troc-la no intervalo de tempo determinado pelo sistema; 6) Devo desconectar-me do sistema (logoff) sempre que necessitar de um afastamento de minha estao de trabalho por um tempo superior a 10 minutos; 7) Independente do motivo, devo notificar imediatamente ao administrador da rede quando no necessitar mais de acesso aos recursos do sistema; 8) Devo acessar somente os aplicativos aos quais tenho permisso autorizada pelo gerente da rede e utilizar os computadores da Secretaria de Receita somente para fins lcitos; 9) Estou proibido de usar a informao obtida atravs do acesso aos sistemas de computao da Secretaria para realizao de ganho pessoal, lucro financeiro, ou publicao sem aprovao formal de meu superior; 10) Estou proibido utilizar os computadores da Secretaria para atividades ofensivas a meus colegas de trabalho ou ao pblico em geral, tais atividades incluem, mas no se limitam a: discursos sobre dio, artigos que ridicularizem outras pessoas com base em raa, credo, religio, cor, sexo, deficincia fsica ou mental, nacionalidade, ou orientao sexual; 11) Estou proibido de acessar, criar, visualizar, guardar, copiar, ou transmitir por meio da rede da Secretaria de Receita, materiais contendo pornografia, apologia ao uso de drogas e armas, divulgao de jogos ilegais, atividades terroristas ou qualquer outra de natureza ilegal ou proibida.

_________________________ NOME

________________________ ASSINATURA

__________________ DATA

116 ANEXO III ISO/IEC 17799:2000. First edition 10/12/2000. Paragrafo 6. e 7