Escolar Documentos
Profissional Documentos
Cultura Documentos
Gestao Seguranca
Gestao Seguranca
www.ProjetodeRedes.com.br
PEDERNEIRAS SP
2006
PEDERNEIRAS SP
2006
Agradecimentos
RESUMO
A partir de definies de termos baseados na norma NBR ISO/IEC 17799:2001, e um estudo de
caso em uma empresa, este trabalho busca favorecer o entendimento da Segurana da
Informao, e tambm a conscientizao da seriedade que se deve dar a ela principalmente nos
dias atuais.
O trabalho mostrar que ao mesmo tempo em que no universo das informaes os dados circulam
na empresa com grande facilidade e muita rapidez, importante no fechar os olhos para o
perigo, ou seja, ele existe e no h como fugir das ameaas e dos riscos que a informao est
sujeita constantemente.
Portanto, ser fundamentada inclusive com dados estatsticos a importncia de se adotar uma
Poltica de Segurana da Informao nas empresas.
Palavras-chave: Segurana da Informao, Poltica da Segurana da Informao e NBR
ISO/IEC 17799:2001.
ABSTRACT
From the definition of words based on the rule NBR ISO/IEC 17799:2001, and a company
case study, this report searches to help the Information Security understanding, and also to
get the conscience of the importance one should give to it specially in these days.
The report will show us that at the at same time, in the information universe, data go into
companies in such an easy and fast way that is very important one not close its eyes to the
danger, that means, the danger exists and one can not run away from the threat and the risks
that the information is constantly under.
Therefore, the importance of having an Information Security Policy in the companies is
founded including with statistic data.
Key-Word: Information Security, Information Security Policy and NBR/ISO/IEC
17799:2001
LISTA DE ILUSTRAES
Sumrio
1 INTRODUO
09
11
11
13
14
16
24
24
25
27
28
29
30
31
32
32
32
33
33
39
40
40
40
41
42
42
43
43
44
4. PADRONIZAO DE SEGURANA
4.1 Consideraes iniciais
4.2 Termos e Definies
4.3 Principais controles da Norma (NBR ISO/IEC 17799)
4.3.1 Poltica de Segurana da Informao
4.3.1.1 Documento da poltica de segurana da informao
4.3.2 Segurana Organizacional
4.3.2.1 Infra-estrutura da segurana da informao
4.3.2.2 Atribuio das responsabilidades em segurana da
48
48
48
50
50
50
51
51
18
19
21
informao
4.3.2.3 Cooperao entre organizaes
4.3.2.4 Segurana no acesso de prestadores de servios
4.3.2.4.1 Tipos de acesso
4.3.2.4.2 Contratados para servios internos
4.3.3 Classificao e Controle dos Ativos da Informao
4.3.3.1 Contabilizao dos ativos
4.3.3.2 Inventrio dos ativos
4.3.4 Segurana em Pessoas
4.3.4.1 Segurana na definio e nos recursos de trabalho
4.3.4.2 Incluindo segurana nas responsabilidades do trabalho
4.3.4.3 Seleo e poltica de pessoal
4.3.4.4 Termos de Trabalho
4.3.4.5 Treinamento dos Usurios
4.3.4.6 Notificando o mau funcionamento de software
4.3.5 Segurana Fsica e do Ambiente
4.3.5.1 reas de Segurana
4.3.5.2 Permetro de Segurana
4.3.5.3 Segurana em salas e instalaes de processamento
4.3.5.4 Segurana dos equipamentos
4.3.5.5 Instalao e proteo de equipamentos
4.3.6 Gerenciamento das Operaes e Comunicaes
4.3.6.1 Procedimentos e responsabilidades operacionais
4.3.6.1.1 Documentao dos procedimentos de operao
4.3.6.2 Procedimentos para o gerenciamento de incidentes
4.3.6.3 Controles de redes
4.3.6.4 Descarte de mdias
4.3.6.5 Troca de informaes e software
4.3.6.5.1 Segurana do comrcio eletrnico
4.3.7 Controle de Acesso
4.3.8 Desenvolvimento e manuteno de Sistemas
4.3.9 Gesto da Continuidade do Negcio
4.3.10 Conformidade
51
52
52
52
53
53
54
54
55
55
55
56
57
57
57
57
58
58
59
59
59
60
60
61
61
61
62
62
63
63
64
64
65
66
67
70
71
71
71
72
73
73
74
74
77
78
79
80
81
82
83
83
6 ESTUDO DE CASO
6.1 Apresentao da empresa e metodologia
6.2 Panorama atual da empresa e Solues Propostas
6.2.1 Poltica de Segurana da Informao
6.2.2 Titularidade das Informaes
6.2.3 Segurana das Informaes
6.2.4 Classificao das Informaes
6.2.5 Sigilo das Informaes
6.2.6 Autorizao para acesso a recursos tecnolgicos
6.2.7 Proteo contra vrus e softwares maliciosos
6.2.8 Procedimentos para acesso a Internet
6.2.9 Procedimentos para Correio Eletrnico
6.2.10 Gerenciamento, controle da rede, monitorao do uso
e acesso aos Sistemas
6.2.11 Senhas e processo de logon
6.2.12 Backup e Plano de contingncia
6.2.13 Controle de acesso fsico as reas restritas
6.2.14 Combate e preveno de incndios
6.2.15 Triagem de pessoal
6.2.16 Segurana e tratamento de mdias
6.2.17 Palavra dos diretores
6.2.18 Consideraes sobre o estudo de caso
85
85
87
87
88
89
90
91
92
92
93
94
95
95
96
97
98
99
100
100
101
7. CONCLUSO
108
Referncias
Glossrio
Apndice A Questes direcionadas administrao da empresa
Apndice B Questes direcionadas diretoria da empresa
Apndice C Questes direcionadas ao departamento industrial da empresa
Apndice D Questes direcionadas ao departamento de pesquisa e
desenvolvimento da empresa
Apndice E Questes direcionadas ao departamento de qualidade da empresa
Apndice F Questes direcionadas ao departamento de tecnologia da
informao da empresa
Anexo - Modelo de termo de responsabilidade e Confidencialidade
110
112
121
126
127
132
137
143
151
1 INTRODUO
10
Todas as respostas para essas questes podem ser encontradas ao longo dos seis
captulos em que est organizado este trabalho, os quais exploram questes e termos
relacionados a Segurana da Informao. Ao mesmo tempo, um estudo de caso apresentando
as principais falhas de segurana da informao na empresa analisada e em seguida a
indicao de algumas solues para os problemas descobertos.
O presente trabalho est organizado da seguinte forma. O captulo um faz uma breve
instruo do que ser apresentado ao longo dos sete captulos. O captulo dois explana de
forma clara o que significa a segurana da informao, enfocando na sua importncia e nos
seus benefcios de aplicao dentro das empresas. O captulo trs visa o esclarecimento de
determinados componentes da Segurana da Informao, por exemplo, ativos, ameaas,
vulnerabilidades e riscos. O captulo quatro um resumo da Norma NBR ISO/IEC
17799/2001, explicando todos os termos e componentes da mesma. No captulo cinco
definido o que uma Poltica de Segurana da Informao, evidenciando o seu papel
fundamental dentro das empresas e o comprometimento de todos os envolvidos. No captulo
seis desenvolvido um estudo de caso, o qual demonstrar a empresa questionada, a
metodologia utilizada e as observaes seguidas das solues propostas pelo grupo com
relao segurana dentro da empresa. Por fim, o captulo sete que contm a concluso final
do trabalho com o que foi absorvido e concludo pelo grupo.
11
Laudon e Laudon (1999, p. 10, grifo nosso), tratando de informao menciona que:
[...] vem da palavra Latina informare, que significa dar forma. A
maioria dos filsofos acredita que a mente humana que d forma aos
dados para criar uma informao e um conhecimento significativos.
Plato e outros filsofos gregos tiraram esse conceito de um mundo de
significado, inteno e conhecimento criado pelos seres humanos. Essas
idias esto no cerne da cultura ocidental.
12
13
No sentido geral uma das definies encontradas no dicionrio Aurlio, para o termo
segurana [...] um estado e qualidade ou condio de seguro, assim tambm como
convico e certeza. Dessa forma, a segurana de tempos em tempos passa a representar algo
de fundamental preciso para tentar garantir que o negcio no esteja vulnervel, porm
sempre disponvel, ou ainda mais do que isso, a segurana uma obrigao. As solues, as
decises e as sadas que hoje so seguras amanh podero no estar mais.
14
15
16
17
18
19
na empresa e deve contar com o apoio da alta administrao para que as regras impostas
sejam desempenhadas com perfeio e ser abordado em mais detalhes no captulo 5.
Aps os treinamentos os usurios estaro aptos para agir de forma correta no
ambiente da empresa.
Embora sejam realizados investimentos em recursos humanos, indispensvel que os
usurios colaborem incessantemente com as regras adotadas, para que sejam capazes de
acompanhar o desenvolvimento da empresa, pois planos e estratgias bem estruturados s
conseguem ser implementados se tiverem um time de profissionais bem treinados, motivados,
satisfeitos e principalmente interessados em aprender. Dessa forma, a partir do momento que
a segurana da informao tornar-se parte da cultura da empresa, cada funcionrio deve
cumprir o seu devido papel dentro da organizao, de acordo com as conformidades que sero
estabelecidas e ajudar a empresa na sua busca pela constante melhoria.
A seguir so apresentadas algumas consideraes sobre o aumento da Segurana da
Informao nas organizaes.
20
21
22
Diferencial competitivo:
Reduo de riscos
23
24
Ativo tudo aquilo que de alguma maneira possui valor para a empresa e como tudo
o que tem valor precisa ser bem protegido. Ativos so os elementos que a segurana da
informao busca proteger devido a sua importncia para as corporaes.
O valor do ativo pode ser o prprio ativo fisicamente, por exemplo, um servidor
(hardware), como tambm pode ser que o mesmo no seja palpvel, mas o seu valor seja
imensamente maior do que diversos outros ativos que so fsicos dentro da empresa, podendo
citar em muitos casos os dados e informaes contidos nos bancos de dados das empresas.
Os ativos evoluram e deixaram de ser a terra e os bens de produo para serem bens
intangveis como marcas, processos, banco de dados e tecnologias. Por conta disso, ganha
importncia a proteo dos ativos intangveis, uma vez que na evoluo da antiga economia
industrial para a economia digital, o patrimnio fsico e tangvel como mquinas e terrenos
deixaram de ser o principal gerador de valor.
Atualmente, o principal elemento criador de riqueza o conhecimento e todos os
ativos por ele gerados direta ou indiretamente, sejam eles, propriedade intelectual, marcas,
domnios, tecnologias, softwares, licenas, contedos, e compostos.
A seguir apresentada uma classificao de ativos.
25
Informaes
Nesta categoria encontram-se as informaes propriamente ditas, estejam elas
cdigos
de programao,
arquivos de
entendimento da mesma.
a) Software
Este grupo de ativos contm todos os programas de computador utilizados para a
automatizao de processos, incluindo acesso, leitura, transmisso e armazenamento das
informaes.
De acordo com a Lei n 9.609/98, de 19 de fevereiro de 1998, Captulo 1 e artigo 1,
Programa de Computador definido como:
" a expresso de um conjunto organizado de instrues em
linguagem natural ou codificada, contida em suporte fsico de qualquer
natureza, de emprego necessrio em mquinas automticas de tratamento da
informao, dispositivos, instrumentos ou equipamentos perifricos,
baseados em tcnica digital ou anloga, para faz-los funcionar de modo e
para fins determinados."
26
27
O enfoque da segurana das informaes nos usurios est voltado para a formao
de conscincia sobre segurana, para que estes tomem decises e empreendam aes de
acordo com as necessidades de proteo. Isso vai desde a alta direo at os usurios finais da
informao, incluindo os grupos que mantm em funcionamento a estrutura tecnolgica,
como tcnicos, operadores e administradores. Dentro desta categoria podem ser enquadradas
praticamente todas as ameaas de origem humana, de roubo e invases.Alguns exemplos de
organizacional so: funcionrios, profissionais terceirizados e executivos.
A seguir so apresentadas possveis falhas na Segurana de Informao, ou seja, as
ameaas.
3.2 Ameaas
28
ameaa se concretize por meio de uma vulnerabilidade, combinada com o impacto que a
ameaa ir causar, e pode ser classificada em trs grupos:
1. Ameaas naturais - condies da natureza que podero provocar danos nos
ativos. Por exemplo: fogo, inundao, terremotos, entre outros.
2. Intencionais - so ameaas deliberadas causadas por pessoas. Por exemplo:
fraudes, vandalismo, sabotagem, espionagem, invaso e furto de informaes,
entre outros.
3. Involuntrias - so ameaas resultantes de aes inconscientes de usurios,
muitas vezes originadas pela falta de conhecimento no uso dos ativos. Por
exemplo: erros e acidentes.
Algumas ameaas s informaes, como: vrus, spam, trojan ou cavalo de tria,
funcionrios insatisfeitos, furto e quebra de senhas, vazamento de informao, hacker, falha
de segurana interna, so descritas a seguir.
3.2.1 Vrus
29
Vrus de macro: infectam os arquivos dos programas Microsoft Office Word, Excel,
PowerPoint e Access. Variaes mais recentes tambm esto aparecendo em outros
programas. Todos estes vrus usam a linguagem de programao interna do programa,
que foi criada para permitir que os usurios automatizem determinadas tarefas neste
programa. Devido facilidade com que estes vrus podem ser criados, existem
milhares deles espalhados.
3.2.2 SPAM
30
Gasto desnecessrio de tempo: para cada spam recebido, o usurio necessita gastar um
determinado tempo para ler, identificar o e-mail como spam e remov-lo da caixa
postal.
Perda de produtividade: para quem utiliza o e-mail como uma ferramenta de trabalho,
o recebimento de spams aumenta o tempo dedicado tarefa de leitura de e-mails, alm
de existir a chance de mensagens importantes no serem lidas, serem lidas com atraso
ou apagadas por engano.
Prejuzos financeiros causados por fraude: o spam tem sido amplamente utilizado
como veculo para disseminar esquemas fraudulentos, que tentam induzir o usurio a
acessar pginas clonadas de instituies financeiras ou a instalar programas maliciosos
projetados para furtar dados pessoais e financeiros. Este tipo de spam conhecido
como phishing. O usurio pode sofrer grandes prejuzos financeiros, caso fornea as
informaes ou execute as instrues solicitadas neste tipo de mensagem fraudulenta.
31
32
3.2.7 Hacker
33
As ameaas internas podem ser consideradas como o risco segurana dos recursos
computacionais. Um bom programa de segurana fsica o passo inicial para a defesa da
corporao no sentido de proteger as suas informaes contra acessos indevidos. Este
programa deve iniciar no decurso da realizao de uma anlise de risco.
Os seguintes elementos devem ser checados durante esta anlise: portas das salas
trancadas, mesas e armrios trancados, estaes de trabalho protegido contra acessos
indevidos, disposio e proteo das mdias magnticas de armazenamento, cabeamento de
rede padronizado e seguro, informaes protegidas (em meio magntico e papel), documentos
sobre as mesas, descarte de informaes (se existem trituradoras de papis), reas de
circulao de visitantes a reas restritas.
Uma lista das principais ameaas de segurana fsica poderia conter os seguintes
itens: incndio (fogo e fumaa), gua, (vazamentos, corroso, enchentes), tempestades,
vandalismo, roubos, furtos, construes prximos a equipamentos de tecnologia, materiais
txicos, falhas em equipamentos, interrupo de energia, entre outros.
A seguir so apresentadas algumas estatsticas sobre as ameaas na segurana da
informao.
Foi realizado um estudo no ano 2003 pela Mdulo S.S.S.A, das principais ameaas
de segurana da informao no Brasil. A metodologia utilizada contou com a coleta de dados
em (2003), onde contou com respostas presenciais via on-line. No total, a pesquisa
34
quantitativa teve uma amostra de 682 questionrios, coletados entre maro e agosto de 2003,
junto a profissionais ligados s reas de Tecnologia e Segurana da Informao.
Os profissionais que participaram deste estudo esto distribudos em diversos
segmentos, como: Financeiro (21%), Governo (17%), Indstria e Comrcio (14%),
Tecnologia/Informtica (14%), Prestao de Servios (9%), Outros (8%), Telecomunicaes
(7%), Comrcio/Varejo (4%), Energia Eltrica (2%), Educao (2%) e Sade (2%),
correspondendo cerca de 50% das 1000 maiores empresas brasileiras.
Essas ameaas so apresentadas a seguir.
Principais ameaas Segurana da Informao
60%
53%
50%
51%
49%
47%
40%
41%
39%
37%
30%
31%
29%
FRAUDES EM
EMAIL
66%
USO DE
NOTEBOOKS
70%
20%
FALHAS NA
SEGURANA
FSICA
HACKERS
FRAUDES,
ERROS E
ACIDENTES
VAZAMENTO
DE
INFORMAES
ACESSOS
INDEVIDOS
VRUS
FUNCIONRIOS
INSATISFEITOS
0%
DIVULGAO
DE SENHAS
10%
35
36
37
Observa-se que o ataque de que mais ocorreu neste semestre foi o causado por Worm
com 41,50% e os ataques por meio de Servidor web foi nula.
A seguir so apresentados os incidentes no mundo.
38
39
incidentes, fraudes, spams e vrus ainda esto provocando a cada ano impactos nos negcios
das empresas.
Portanto, as empresas hoje em dia devem ficar atentas principalmente aos perigos
que resultam da presena e do uso da internet, e reconhecer que a importncia da proteo dos
dados para o sucesso do negcio fundamental.
A
seguir
sero
apresentadas
algumas
consideraes
importantes
sobre
vulnerabilidades.
3.3 Vulnerabilidades
As ameaas sempre existiro, por isso de se esperar que, medida que a tecnologia
progrida, tambm surjam novas formas por meio das quais elas possam se concretizar,
portanto, importante conhecer a estrutura geral de como se classificam as vulnerabilidades
que podem fazer com que essas ameaas causem impactos em nossos sistemas,
comprometendo os princpios da segurana da informao.
As vulnerabilidades podem estar expostas na parte fsica, hardware, software, meios
de armazenamento, comunicao e humanas.
As vulnerabilidades so situaes que, ao serem explorados por ameaas, afetam a
confidencialidade, a disponibilidade e a integridade das informaes de um indivduo ou
empresa.
Um dos primeiros passos para a implementao da segurana rastrear e eliminar as
vulnerabilidades de um ambiente de tecnologia da informao. Ao se identificarem as
vulnerabilidades, ser possvel dimensionar os riscos aos quais o ambiente est exposto e
definir as medidas de segurana mais apropriadas e urgentes para o ambiente.
40
Os pontos fracos de ordem fsica so aqueles presentes nos ambientes em que esto
sendo armazenadas ou gerenciadas as informaes. Por exemplo: instalaes inadequadas do
espao de trabalho, ausncia de recursos para o combate a incndios, disposio
desorganizada dos cabos de energia e de rede, entre outros.
41
42
Este tipo de vulnerabilidade abrange todo o trfego de informaes. Onde quer que
transitem as informaes, seja por cabo, satlite, fibra ptica ou ondas de rdio, deve haver
preocupaes com segurana. O sucesso no trfego dos dados um aspecto fundamental para
a implementao da segurana da informao. Assim, a segurana da informao tambm est
associada ao desempenho dos equipamentos envolvidos na comunicao, pois se preocupa
43
com a qualidade do ambiente que foi preparado para o trfego, tratamento, armazenamento e
leitura das informaes. Por exemplo, a ausncia de sistemas de criptografia nas
comunicaes poderia permitir que pessoas alheias organizao obtivessem informaes
privilegiadas, a m escolha dos sistemas de comunicao para envio de mensagens de alta
prioridade da empresa poderia fazer com que elas no alcanassem o destino esperado no
prazo adequado ou que a mensagem fosse interceptada no meio do caminho.
Anlise de risco uma medida que busca avaliar qual a real probabilidade de que
ameaas se concretizem utilizando as vulnerabilidades existentes, alm de identificar os
44
possveis impactos que possam ser causados. A anlise de riscos tem como resultado uma lista
de problemas que devem ser priorizados, uns dos principais objetivos diagnosticar a
situao da segurana da informao na organizao e recomendar aes para cada
vulnerabilidade mapeada.
Uma Anlise de Risco bem realizada poder garantir a confidencialidade, a
disponibilidade e a integridade das informaes nas empresas.
A tarefa da anlise de riscos identificar os processos comerciais da organizao em
que se deseja implementar ou analisar o nvel de segurana da informao. Na definio do
escopo do projeto de anlise de riscos, delimita-se o universo dos ativos sobre os quais
oferecero suas recomendaes, com base na relevncia do processo para a empresa no intuito
de alcanar os objetivos da organizao. De acordo com (Smola , 2003), fazem parte de uma
anlise de risco:
Processos de Negcio: identificar junto aos gestores e colaboradores os Processos de
Negcio existentes na Empresa.
Ativos: identificar os ativos que sero considerados na Anlise de Risco: Pessoas,
Infra-estrutura, Aplicaes, Tecnologia e informaes.
Vulnerabilidades: identificar as vulnerabilidades existentes nos ativos que possam
causar indisponibilidade dos servios ou serem utilizadas para roubo das suas informaes.
Ameaas: identificar os agentes que podem vir a ameaar a empresa.
Impacto: tendo identificado as vulnerabilidades e ameaas, identificamos o impacto
que estes podem causar na Empresa. Como roubo de informao, paralisao de servios,
perdas financeiras entre outros.
Ao definir o escopo, importante considerar que os processos podem ser uma
atuao da organizao frente ao mercado, uma funcionalidade interna e externa, uma
45
46
b) Conexes
As conexes de comunicao entre as redes devem estar seguras: fibra ptica,
satlite, rdio, antenas, etc. Para isso, importante realizar atividades de anlise sobre a forma
com que as conexes esto configuradas e dispostas na representao topolgica da rede. Isso
garante que a comunicao seja realizada em um meio seguro, criptografada, se for
necessrio, livre de possibilidades de rastreamento de pacotes ou mensagens, e tambm
desvio de trfego para outros destinos indesejados.
c) Aplicativos
Os aplicativos so os elementos que fazem a leitura das informaes de um processo
de negcio ou de uma organizao. Dessa forma, constituem um elemento muito importante,
pois fazem a interface entre diversos usurios e diversos tipos de informao no que se refere
a confidencialidade, integridade e disponibilidade. Dessa forma, os aplicativos devem garantir
um acesso restritivo, com base nos privilgios de cada usurio e s informaes que eles
manipulam. Alm disso, devem garantir tambm que suas configuraes estejam de acordo
com os princpios de segurana estabelecidos (muitos dos quais so reconhecidos por
organismos internacionais) com relao disponibilidade das informaes, forma como o
47
48
4 PADRONIZAO DE SEGURANA
49
50
adequado que um documento da poltica seja aprovado pela direo e, alm disso,
publicado e comunicado para todos os funcionrios da empresa. E apropriado que este
expresse as preocupaes da direo com a gesto da segurana da informao, incluindo:
a) Declarao e comprometimento da alta direo, apoiando a anlise da segurana da
informao.
b) Referncias documentao que possam apoiar a poltica, por exemplo, polticas e
procedimentos de segurana ou regras de segurana que os usurios devem seguir.
51
52
53
54
55
tratamento. conveniente que cada ativo e seu respectivo proprietrio sejam claramente
identificados, e a classificao de segurana seja documentada. Exemplos de ativos:
56
Os incidentes que afetam a segurana devem ser notificados atravs dos canais
apropriados o mais rpido possvel. Todos os funcionrios e prestadores de servio devem
estar conscientes dos procedimentos para notificao dos diversos tipos de incidentes que
possam ter impactos na segurana dos ativos organizacionais.
57
til assegurar que os usurios estejam cientes das ameaas e das preocupaes de
segurana da informao na empresa. Alm disso, oportuno que eles sejam treinados nos
procedimentos de segurana da informao e no uso correto das instalaes de processamento
de informaes de forma a minimizar possveis riscos de segurana.
58
59
60
61
62
As mdias devem ser descartadas de uma maneira segura quando no forem mais
utilizadas, pois, informaes sensveis podem ser divulgadas ou utilizadas por pessoas de fora
da organizao atravs de mdias que no foram descartadas corretamente. As melhores
tcnicas para remoo de mdias so por meio de triturao e incinerao. Os itens abaixo
demandam descarte seguro:
a) papel carbono;
b) documento em papel;
c) relatrios impressos;
d) discos removveis;
e) documentao de softwares.
63
Todo controle de correio eletrnico da empresa controlado por um servidor de email, evitando que ataques ao correio eletrnico aconteam. Existe uso de regras e
criptografia para proteger a confidencialidade e integridade das mensagens eletrnicas,
mensagens de marketing e publicidade (spam) at chegarem no usurio final.
64
65
4.3.10 Conformidade
66
67
Estar implementada.
68
69
70
Neste item sero abordados os principais aspectos que devem ser contemplados no
desenvolvimento de uma Poltica de Segurana da Informao, que so descritos a seguir.
71
72
73
Para acesso a informaes confidencias deve existir uma autorizao formal por
parte do diretor ou gerente responsvel pela aprovao dos acessos, os quais tm o direito de
acessar e garantir o sigilo das informaes.
Uma poltica de liberao de acessos deve ser elaborada para descrever e formalizar
quem so os responsveis por liberar acessos a novos colaboradores ou liberar novos acessos
a colaboradores j existentes. Esta poltica deve estabelecer que cada usurio deva somente e
exclusivamente ter os acessos que possuem relao com suas tarefas. Uma hierarquia de
responsabilidades como a que segue abaixo pode ser utilizada para facilitar o entendimento
desta poltica:
Diretor: poder efetuar autorizaes e aprovaes necessrias para os
diretores e gerentes sob sua subordinao direta;
Gerente: poder efetuar autorizaes e aprovaes necessrias para os
gerentes, supervisores, encarregados e demais colaboradores sob sua
subordinao direta.(FERREIRA E ARAJO, 2006, p.64).
74
Devem ser bloqueadas com uma senha quando os usurios ausentarem-se de seu
local de trabalho. Pode ser a prpria proteo do sistema operacional, proteo de
tela com senha ou qualquer outro recurso oferecido pela empresa para esta
finalidade. Este tipo de ao importante para que usurios no autorizados
venham a se privilegiar de acessos dos quais no possuem alvar.
Os servidores devem ter o acesso fsico restrito e sua utilizao deve ser apenas
para suas aplicaes principais. Por exemplo, um servidor no deve ser usado
para ficar navegando na internet.
75
76
estudos revelam que o acesso em banda larga pode levar um usurio a desperdiar at 20 %
do seu tempo produtivo acessando contedos para fins particulares.
A utilizao da internet deve ser baseada em um procedimento que vise padronizar o
uso da mesma, com a finalidade de proteger a propriedade intelectual, privacidade das
informaes e quaisquer tipos de discriminao.
importante que neste procedimento seja explanado a importncia da internet para a
conduo dos negcios da empresa, de modo que fiquem esclarecidos aos usurios os
principais processos que podem causar danos quando so utilizados de maneira inadequada.
Por exemplo, uma filial da empresa utiliza a internet para conectar no sistema de gesto para
lanar os seus pedidos de venda.
As pginas da internet so das mais variadas formas e podem trazer tanto contedos
teis, como contedos maliciosos que possa danificar o computador ou at mesmo a rede que
est lhe acessando. muito comum que os sites utilizem cookies (ver glossrio), para
conhecer o perfil de cada usurio.
A integridade e transparncia do nome da empresa podem vir a ser abalada pelo uso
indevido da internet por parte dos seus colaboradores, pois praticamente tudo que feito na
internet monitorado e armazenado e a prtica de atividades ilegais pode ser identificada por
intermdio de tcnicas que conseguem identificar os dados como IP, data e hora da conexo,
afinal tudo isso poder acarretar srios problemas para a empresa.
A monitorao do uso da internet muito importante para que sejam registrados
todos os acessos de cada usurio e os mesmos possam ser notificados e at mesmo punidos
nos casos de acesso que sejam contrrios a poltica da empresa. Para fins de auditoria e
comprovao dos acessos indispensvel que algumas informaes sejam armazenadas
juntamente com os sites utilizados. Alguns dos principais dados que precisam ser
77
Neste procedimento tambm devem constar as sanes para os tipos de acesso que
forem julgadas inadequadas pela empresa.
Todos os usurios devem receber um treinamento sobre este procedimento, bem
como instrues para uma navegao segura e assinar termos de cincia deste procedimento.
78
A utilizao do correio eletrnico no meio corporativo uma prtica cada vez mais
adotada pelas empresas para trocarem informaes de uma maneira rpida e prtica, e
tambm como garantia de documentao.
Quando o assunto segurana da informao o uso do correio eletrnico oferece
diversos riscos para a empresa. Recentemente tm surgido diversas maneiras de burlar o
correio eletrnico e utiliz-lo para a propagao de vrus, acesso no autorizado a mensagens
e envio de spams (ver glossrio).
E apesar dessas vrias maneiras de fraudar as mensagens do correio eletrnico, no se
pode desconsiderar que ele pode ser utilizado por funcionrios mal intencionados para enviar
informaes confidenciais sem a autorizao dos responsveis, provocando impactos
inesperados s empresas.
Dessa forma, a poltica de segurana da informao deve tratar a questo do correio
eletrnico com bastante cautela, para que pontos importantes na utilizao deste recurso sejam
tratados conforme as necessidades da empresa e que sigam os preceitos de segurana. Alm
disso, a elaborao desta parte da poltica deve ser analisada e aprovada pelo Departamento
Jurdico da empresa, para que sejam avaliadas as normas legais para evitar a invaso de
privacidade de cada usurio e no deixar a mesma vulnervel.
79
A identificao do usurio, ou User ID, deve ser nico, ou seja, cada usurio
autorizado deve possuir o seu. Deve ser evitado de todas as formas a utilizao de usurios e
senhas compartilhadas.
80
por intermdio do ID de cada usurio que possvel rastrear o que foi realizado
por determinado usurio nos sistemas. Dessa forma, possvel identificar de maneira segura
quem foi o usurio responsvel por determinada ao nos sistemas da empresa.
5.2.12 Senhas
Expirao da senha: deve ser forada a alterao das senhas dos usurios
periodicamente;
Repetio de senha: restringir, pelo menos, a utilizao das ltimas cinco senhas
utilizadas;
81
82
Realizar testes nas mdias que armazenam os backups para assegurar que os
mantidos em ambiente interno e externo estejam seguros e em perfeito estado
para serem utilizados;
83
importante quanto a segurana lgica, pois elas so a base para a proteo de qualquer
investimento feito por uma empresa.
Qualquer acesso s dependncias da empresa, desde as reas de trabalho at aquelas
consideradas crticas, deve ser controlado e sempre praticando sua formalizao.
Os sistemas de segurana fsica devem ser implementados para garantir que somente
tero acesso aos locais seguros da empresa as pessoas que tiverem autorizao e permisso
formal.
84
exatido, e estar adequada para todos, certamente ela obter alguns benefcios. De acordo com
Ferreira e Arajo (2006) os principais benefcios so classificados de acordo com o prazo, dos
quais so:
Curto prazo
Mdio prazo
Longo prazo
85
6 ESTUDO DE CASO
86
87
Em seguida, com base em tudo o que foi identificado na empresa, ou seja, com o
apoio das entrevistas realizadas com os diversos funcionrios da empresa e com o devido
acompanhamento dirio dos funcionrios, foi possvel fazer um panorama com a atual
situao da empresa com relao Segurana das Informaes.
A seguir ser apresentado o panorama atual da empresa para cada tpico avaliado,
bem como as solues propostas para cada tpico.
Existe atualmente uma Poltica que define algumas regras e as boas prticas para o
uso dos recursos computacionais e de telecomunicaes. Esta Poltica chamada de Poltica
de Utilizao dos Recursos Computacionais e de Telecomunicaes. Em boa parte ela
contempla os requisitos para uma Poltica de Segurana da Informao, porm no aborda os
tpicos com a nfase e detalhamento que receberiam se fizesse parte de uma Poltica de
Segurana da Informao.
Este documento foi publicado na empresa no ano de 2003 e at hoje no sofreu
nenhuma reviso. Foi verificado que o mesmo no apresentou uma correta divulgao pela
empresa, pois muitos dos entrevistados no conseguiram se recordar como tiveram cincia
deste documento e os que conseguiram lembrar entraram em divergncia com o que foi
apresentado pelo Departamento de Tecnologia da Informao, que foi o responsvel pela
elaborao e divulgao da poltica.
Segundo o Departamento de Tecnologia da Informao, a divulgao do documento
ocorreu por intermdio de uma reunio com todos os gestores das reas, na qual ficou
88
definido que cada gestor era responsvel pela divulgao dentro de suas reas de
responsabilidades.
Solues propostas:
Revisar a Poltica atual, pois j se passaram trs anos de sua implantao, sem
nenhuma reviso;
A Poltica atual da empresa fala sobre a titularidade das informaes, ela define que a
empresa tem todos os direitos sobre toda e qualquer informao que esteja armazenada nos
recursos tecnolgicos da empresa e que propriedade da empresa. No entanto, foi constatado
que isto no est muito claro para todos os usurios, o que pode trazer srios problemas para a
empresa caso seja necessrio tomar alguma atitude embasada nesta poltica.
Solues propostas:
Com a devida divulgao da nova Poltica, conforme citado no item anterior este
problema ser solucionado, uma vez que a Poltica abrange este tema.
89
Falta de controle efetivo de pessoas que entram e saem da empresa com cmeras
digitais, celulares com cmera, pen drivers, disquetes e outros dispositivos de
armazenamento;
90
Solues propostas:
91
em que possvel determinar nveis de acessos diferentes para usurios distintos. Esta rea da
rede mencionada pelos usurios considerada pelo Depto. de TI como sendo uma importante
rea de armazenamento de informaes, sejam elas confidenciais ou no, porm a falta da
classificao destas informaes no permite que seja realizado um trabalho efetivo para a
proteo de uma maneira mais intensa nas informaes classificadas como crticas e
confidenciais.
Solues propostas:
Como no existe uma classificao das informaes difcil para a SAF poder
controlar e garantir o sigilo das informaes. Foi apurado que informaes consideradas
confidenciais pelos departamentos so enviadas pelo correio eletrnico sem nenhum controle,
isto , qualquer indivduo que tenha acesso informao pode a qualquer momento enviar um
arquivo anexado em uma mensagem de correio eletrnico sem o controle ou autorizao de
um superior.
Do mesmo modo, no h na empresa uma poltica de mesas e telas vazias, com o
intuito de diminuir a oportunidade de pessoas no autorizadas obterem acesso a informaes
confidenciais ou sigilosas da empresa.
92
Solues propostas:
A autorizao para novos acessos e novos usurios est bem definida na Poltica
atual da empresa, e este foi um ponto no qual observou-se que praticamente todos apresentam
cincia da hierarquia existente e seguem a regra estabelecida na Poltica vigente. Um ponto
fraco encontrado foi que uma simples mensagem de correio eletrnico ou do sistema de
comunicao interna da empresa, enviada pelas pessoas autorizadas j suficiente para a
liberao do acesso.
Solues propostas:
93
94
Implementar uma ferramenta que gerencie melhor os acessos dos usurios e que
consiga fornecer relatrios de uma maneira prtica;
95
por exemplo, usurios que podem apenas enviar mensagens com anexo
internamente, definir conforme a necessidade atual.
Acrescentar na poltica que usurios que saem de frias, licena mdica ou por
qualquer outro motivo se afastem do trabalho por um perodo determinado,
devem ter seus usurios bloqueados neste perodo.
96
Senhas genricas;
Solues propostas:
97
98
Evitar que a sala dos servidores fique destrancada quando no houver algum
responsvel por perto. Por exemplo, na hora do almoo a sala deve ser trancada
com chave e que cada um dos funcionrios habilitados a entrar na sala dos
servidores tenham uma cpia da chave, aumentado a segurana das informaes
sem grandes custos.
99
nmeros de ramais ou telefones importantes, que fica fixada em diversos locais da empresa
facilitando a comunicao em caso de algum incidente.
Solues propostas:
100
Estar atento com a classificao das informaes, pois somente com uma
classificao bem feita possvel realizar o descarte correto dos diferentes tipos
de mdias e informaes.
101
A partir das respostas pode-se observar que todos eles tm conhecimentos sobre o
que segurana da informao de uma maneira bem global.
Os diretores da empresa esto cientes que atualmente a empresa no possui uma
gesto de segurana da informao adequada com o que consideram necessrio para a mesma,
isso ficou muito claro quando questionados sobre a nota que dariam para a segurana da
informao atualmente na empresa e a mdia obtida foi 4,5.
Outro consenso entre os diretores que a segurana da informao um ponto
importantssimo para a empresa, principalmente pelo fato do ramo de atividade da empresa
ser alimentcio/farmacutico, pois so reas que merecem uma grande ateno para questes
de segurana da informao.
A segurana da informao foi classificada por eles como um forte diferencial
competitivo no mercado atual, e que cada vez mais as empresas vo se fortalecer para garantir
principalmente a confidencialidade das informaes das empresas que trabalham em parceria
para grandes e estratgicos projetos.
Segundo os diretores, a rea de segurana da informao uma rea que merece
maior ateno para os prximos anos e que pretendem investir na medida do possvel para
melhor-la. Alm de investimentos, todos deixaram claro que para um projeto de segurana
da informao dentro da empresa, eles daro total apoio para que novas medidas de segurana
da informao sejam implementadas e afirmaram que realmente segurana da informao
uma preocupao da empresa.
102
103
Solues
de
Segurana
da
Solues
Problemas
Solues
104
Solues
Solues
do
antivrus
no
105
Solues
Senhas genricas;
106
Solues
Solues
Abordar aspectos de combate e preveno de
incndios na nova Poltica de Segurana da
Informao.
Triagem de pessoal
Problemas
Solues
107
Solues
108
7 CONCLUSO
109
110
REFERNCIAS
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Cdigo de Prtica para a Gesto
da Segurana da Informao. NBR ISO/IEC 17799: So Paulo, 2001.
BuscaLegis.ccj.ufsc.br. Disponvel em:
<http://www.buscalegis.ufsc.br/arquivos/direito_autoral_programas_comp.htm>.Acesso em: 16
mai. 2006.
Cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil
Disponvel em:<http://www.cert.br/stats/incidentes/2006-apr-jun/top-atacantescc.html> Acesso
em: 25/09/2006.
Convergncia Digital O melhor contedo de TI e Telecom da Internet Brasileira.Disponvel
em:http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?from%5Finfo%5Findex=
11&infoid=3578&query=simple&search%5Fby%5Fauthorname=all&search%5Fby%5Ffield=tax
&search%5Fby%5Fheadline=false&search%5Fby%5Fkeywords=any&search%5Fby%5Fpriority
=all&search%5Fby%5Fsection=all&search%5Fby%5Fstate=all&search%5Ftext%5Foptions=all
&sid=3&text=seguran%E7a+da+informa%E7%E3o+no+brasil> Acesso em 04 set 2006.
DIAS, Claudia. Segurana e Auditoria da Tecnologia da Informao. 4. ed. Rio de Janeiro:
Axcel Books do Brasil, 2000.
FERREIRA, Aurlio Buarque de Holanda, Minidicionrio Aurlio da Lngua Portuguesa, 4
Edio, 2002.
FERREIRA, Fernando Nicolau Freitas; ARAJO, Mrcio Tadeu de.Poltica de Segurana da
Informao - Guia Prtico para Elaborao e Implementao. 1 ed.Rio de Janeiro: Cincia
Moderna,2006.
FOCO SECURITY. Disponvel em:
<http://www.focosecurity.com.br/servicos/analise_risco.asp> Acesso em: 30/09/2006
IDG NOW! Tecnologia em primeiro lugar. Disponvel em:
<http://idgnow.uol.com.br/seguranca/2006/08/18/idgnoticia.2006-08-18.4274651371/
IDGNoticia_view> Acesso em 29 ago 2006.
IDG NOW! Tecnologia em primeiro lugar. Disponvel em:
http://idgnow.uol.com.br/seguranca/2006/06/26/idgnoticia.2006-0626.1265987913/IDGNoticia_view> Acesso em 30 ago 2006.
InfoSecurity Task Force. Disponvel em :<http://www.istf.com.br/> Acesso em: 10/09/2006.
LAUDON, Kenneth C, LAUDON, Jane Price Sistemas de Informao com Internet. 4. ed. Rio
de Janeiro: LTC-Livros Tcnicos e Cientficos S. A, 1999.
111
em: 20/08/2006.
112
Glossrio
A
Algoritmo
Seqncia de passos necessrios para resolver problemas lgicos ou matemticos. Certos
algoritmos de criptografia so usados para codificar ou decodificar arquivos de dados e
mensagens, e para assinar documentos digitalmente. Ver Criptografia e Assinatura digital.
Alias
No h um padro comumente aceito pela indstria de segurana para os nomes dos vrus de
cdigos maliciosos mveis. Cada vrus pode ser conhecido por diferentes nomes ou apelidos.
Ameaa combinada
Ou Blended threat As ameaas combinadas renem caractersticas de Vrus, worms,
cavalos de Tria e cdigos maliciosos e valem-se da vulnerabilidade dos servidores e da
Internet para iniciar, transmitir e disseminar ataques. Devido utilizao de diversos mtodos
e tcnicas, as ameaas combinadas podem espalhar-se rapidamente, provocando danos
generalizados. Entre as caractersticas das ameaas combinadas encontram-se:
- A gerao de danos: desencadeiam um ataque de recusa de servio no endereo IP visando,
deformam servidores da Web ou inserem programas cavalo de tria para uma posterior
execuo.
- A propagao atravs de diversos mtodos: procuram vulnerabilidades com o intuito de
comprometer os sistemas, incorporando cdigos em arquivos HTML dos servidores,
infectando os visitantes de sites comprometidos e enviando e-mails no autorizados (com
worms anexados) de servidores comprometidos, por exemplo.
- Os ataques de vrios pontos: as ameaas combinadas injetam cdigos maliciosos nos
arquivos.exe aumentam o nvel de privilgio da conta de convidado (guest), criam
compartilhamentos de rede e legveis, fazem vrias alteraes no registro e injetam cdigo de
script nos arquivos HTML dos Sistemas.
- A disseminao sem interveno humana: verificam a Internet constantemente, em busca de
servidores vulnerveis para atacar.
- A explorao das vulnerabilidades: aproveita-se de problemas muito conhecidos, como
buffers cheios, vulnerabilidades de validao na entrada do http e senhas conhecidas, para
ganhar acesso administrativo no autorizado.
Acionador de atividade
Condio que desencadeia a ativao do vrus ou o faz executar sua rotina destrutiva. A
atividade de alguns vrus acionada em uma determinada data.
A de outros pode ser acionada a partir de execuo de certos programas ou da disponibilidade
de uma conexo com a internet. Ver Gatilho
Applet
Miniatura de aplicao transportada pela Internet, especialmente como uma melhoria em uma
pgina Web. Autores freqentemente embutem applets em pginas HTML como um tipo de
programa adicional. Os applets Java so geralmente os nicos que tm acesso permitido a
determinadas reas do sistema do usurio.Ver Controles ActiveX.
Antivrus
Programa especificamente desenvolvido para detectar, anular e eliminar vrus de computador.
113
114
Vrus que tenta evitar que seu cdigo seja examinado. O vrus pode usar vrios mtodos para
tomar mais difcil o rastreamento, o desmanche e a engenharia reversa de seu cdigo.
Bomba lgica
Cdigo inserido clandestinamente em uma aplicao ou um sistema operacional que leva a
realizar alguma atividade destrutiva ou que comprometa a segurana toda vez que condies
especificadas so encontradas. Compare com Back door.
Boot
1 - Setor do disco rgido ou de disquetes onde ficam gravadas as informaes essenciais de
um programa ou do sistema operacional;
2 - Vrus que infecta a primeira trilha do disco lgico e impede o funcionamento correto do
sistema.Ver Vrus.
Brincalho
Programa inofensivo que faz o computador executar vrias atividades no destrutivas (por
exemplo, apresentar de repente uma nova proteo de tela).ver Vrus.
Bug
Falha no intencional que provoca mau funcionamento em um programa de computador ou
em uma peca de hardware. O termo, que em portugus significa inseto, uma referncia
primeira falha real encontrada em um computador: uma mariposa que havia se instalado entre
os circuitos do computador Mark II, da Universidade de Harvard,causando mau
funcionamento.
Buraco ou brecha
Vulnerabilidade na construo do software ou hardware que permite burlar medidas de
segurana.
C
Carga viral
Ao que o vrus executa no computador infectado. Pode ser relativamente incua (como a
exibio de mensagens ou a ejeo do drive de CD) ou bastante destrutiva (como o
pagamento de todo o contedo do disco rgido).
Cavalo de Tria
Um programa que no se duplica sem se copia, mas provoca danos e compromete a segurana
do computador. Normalmente, ele no envia a si mesmo e pode chegar sob a forma de algum
software ou programa brincalho.Ver Vrus.
Certificao
Avaliao detalhada das caractersticas tcnicas e no tcnicas da segurana de um sistema e
de outras protees, com base no processo de credenciamento,que estabelece a extenso na
qual um projeto se encontra em relao a um conjunto especfico de exigncia da segurana.
Chave de registro
O registro do Windows usa chave para armazenar o ambiente de configurao do computado.
Quando um usurio instala um novo programa, ou as configuraes so alteradas, os valores
115
dessas chaves mudam. Se um vrus modificar essas chaves,elas podero produzir efeitos
danosos. A edio do registro do Windows s deve ser feita por usurios avanados.
Cluster (vrus de)
Vrus que modifica a tabela de entrada de diretrios para que o vrus seja carregado antes de
qualquer outro programa. O cdigo do vrus s existe em um local, mas executar qualquer
programa executar o vrus tambm. Como modificam o diretrio, os vrus de cluster parecem
infectar todos os programas de um disco. Ver Vrus.
Cdigo malicioso
Programa introduzido intencionalmente no computador do usurio com o objetivo de roubar
informaes ou derrubar barreiras de segurana. Ver Cavalo de Tria;Controles Active X.
Cdigo mvel
Programa (software) transferido do host para o cliente (ou para outro computador Host) a fim
de ser executado. Um exemplo de cdigo mvel malicioso o worm.
Confidencialidade
Propriedade de certas informaes que no podem ser disponibilizadas ou divulgadas sem
autorizao para pessoas, entidades ou processos. O conceito garantir que a informao
sensvel seja limitada a um grupo apropriado de pessoas ou organizaes.
Controles ActiveX
Mdulos de software que adicionam funcionalidades a aplicaes baseadas na arquitetura do
modelo de objetos da Microsoft. Na Internet, os controles Active-X transformam uma pgina
Web em pginas de software, que agem como qualquer programa carregado a partir de um
servidor. Por esse motivo, os controles Active-X podem dar pleno acesso ao sistema. Na
maioria das vezes, esse aceso legtimo, mas programadores mal-intencionados podem usar a
tecnologia para aplicaes nada nobres. Ver Applet.
Cookie
Arquivo de texto armazenado no computador do internauta e que serve para identificar o
usurio que visita de novo um site. Um cookie pode conter informaes de registro em um
site e preferncias do usurio. Quando um servidor recebe uma requisio do navegador que
inclui um cookie, o servidor pode usar a informao armazenada no arquivo para personalizar
o site para o internauta. Os cookies podem ser usados para coletar informaes importantes
sobre um usurio que seriam impossveis de obter sem ele.
Correo
Pedao de cdigo feito para corrigir falhas em um software ou no sistema operacional.
Geralmente, as correes so liberadas pelo desenvolvedor do software defeituoso.Ver Patch.
Correntes
Corrente de e-mail ou conhecido no Brasil tambm como forward, trata-se de um e-mail que
enviado para diversos conhecidos ao mesmo tempo e que so eventualmente repassadas
adiante e na maioria das vezes se espalham em ritmo exponencial por causa do efeito domin,
atingindo assim muitas vezes milhes de pessoas.
Cracker
116
117
Firewall
Filtro colocado no computador que funciona como ima barreira contra intrusos ou uso
indevido dos recursos do sistema. Pode ser software, hardware ou uma combinao dos dois.
G
Gatilho
Ao ou data que pode acionar o vrus no computador infectado. Os vrus ativados por data
podem afetar o computador nos 365 dias do ano, pois podem infectar a mquina antes da data
para sua execuo.
H
Hacker
Pessoa que gosta de explorar os detalhes e ampliar as capacidades de sistemas programveis.
Ao contrrio da maioria dos usurios, que prefere aprender apenas o mnimo necessrio, o
hacker:
- programa entusiasticamente ou gosta mais de programar do que apenas teorizar sobre
programao;
- programa rapidamente;
- especialista em algum tipo de programa ou que freqentemente fez seu trabalho usando a
especialidade ou baseado nela;
- gosta do desafio intelectual de superar ou driblar limitaes.
Ver Cracker
Hoax
Vrus falso ou vrus-boato. Normalmente uma mensagem de e-mail enviada sob a forma de
corrente que descreve algum vrus devastador de existncia bastante improvvel. bem
fcil identific-lo porque mo h arquivos anexados, nem o aval de nenhuma autoridade para
as declaraes de mensagem, e tambm pelo tom geral da mensagem.Ver Vrus.
I
Infeco
Ao que um vrus coloca em prtica quando entra em um sistema de computador ou em um
dispositivo de armazenamento.
Intruso
Invaso ou tentativa de invaso de um sistema protegido.
M
Macro
Programa ou segmento de cdigo escrito na linguagem de macro interna de um aplicativo.
Algumas macros se duplicam, enquanto outras infectam documentos. Ver Vrus.
Malware
Termo genrico usado para descrever cdigos maliciosos como vrus, cavalos de Tria,
contedo ativo malicioso etc.
118
P
Patch
Remendo, em portugus, um pedao de software para ser adicionado temporariamente a um
programa com a finalidade de corrigir um defeito. Um patch pode ou no funcionar, e pode ou
no ser incorporado definitivamente no programa. Ver Correo.
PGP
Sigla para Pretty Good Privacy, programa de criptografia que utiliza conceitos de chave
pblica e chave privada.
Phreaker
Pessoa que quebra a segurana de redes de telefonia.
Polimorfo
Vrus que cria cpias variadas e funcionais de si mesmo como meio de evitar a deteco por
softwares antivrus.o mesmo vrus pode parecer completamente diferente em sistemas
diferentes ou em arquivos diferentes.Ver Vrus.
Proxy
Um servidor que atua como intermedirio entre um cliente e outro servidor.Normalmente
utilizado em empresas para aumentar a performance de acesso a determinados servios ou
permitir que mais de uma mquina se conectes e utilizados como uma forma de tornar
annimas algumas aes na Internet, como, por exemplo, atacar outras redes ou enviar
SPAM.
R
Replicao
Processo pelo qual um vrus faz cpias de si mesmo com o objetivo de executar infeces
subseqentes. A replicao um das caractersticas que separa os vrus de outros programas
de computador.
Residente de memria
Vrus que permanece na memria depois que executado e infecta outros arquivos quando
certas condies so encontradas.Em contraposio, os vrus no residentes ficam ativos
somente quando a aplicao infectada est rodando.
Retrovrus
Vrus que desabilitam ou infectam um software antivrus especfico.
S
Scam
Falsas mensagens de e-mail enviadas aos usurios utilizando nomes de empresas e servios
conhecidos.Os scams incentivam o usurio a fazer download de arquivos, os quais
posteriormente so detectados como worms, cavalos de Tria ou outras ameaas.Em alguns
casos, essas mensagens simulam formulrios ou pginas de web referentes a bancos ou outro
servio que exija cadastramento, com o objetivo de capturar informaes confidenciais, como,
119
por exemplo, dados bancrios, nmero de carto de crdito, nome e endereo, entre
outras.Ver Hoax.
Senha
Conjunto de caracteres (letras, nmeros e smbolos) de conhecimento exclusivo do usurio.A
senha usada no processo de verificao de identidade.
Sneaker
Indivduo contratado para invadir lugares com o objetivo de testar a segurana.
Spam
Propaganda no solicitada enviada por e-mail.originalmente, o termo usado para definir o
ato de derrubar um programa ao fazer um buffer de tamanho fixo transbordar por causa de
entrada de dados excessivamente grandes.
Spammer
Pessoa que envia mensagens no solicitadas.
Spoofing
Tentativa de ganhar acesso a um sistema fingindo ser um usurio autorizado.
SSL (Secura Sockets Layer)
Protocolo que possibilita realizar comunicaes seguras atravs de criptografia e autenticao.
T
Trojan
Ver Cavalo de Tria.
V
Variante
Novas linhagens de vrus que tomam emprestado o cdigo de outros vrus conhecidos, em
graus variados.As variantes em geral so identificadas por uma ou mais letras aps o
sobrenome do vrus, como: VBS.LoveLetter:B, VBS.LoveLetter.C etc.
Vrus
Programa ou cdigo que se duplica, ou seja, infecta outro programa, setor de inicializao,
setor de partio ou documento que suporta macros inserindo-se ou anexando-se quela meio.
Quando esses programas so executados, o vrus embutido executado tambm, propagando
a infeco.isso normalmente acontece sem que o usurio da mquina perceba.Ao contrrio do
worm, um vrus no pode infectar computadores sem ajuda.Ele se propaga usando vetores,
como, por exemplo, programas trocados por usurios. Os vrus podem no fazer nada, a no
ser propagar-se e deixar o programa infectado funcionar normalmente.Contudo, depois de se
propagar silenciosamente por um perodo, ele comea a exibir mensagens ou pregar peas.
Ver tambm:
- Criptografado
- Polimorfo ou mutante
- Macro
120
- Boot
- Hoax (falso)
- Cavalo de Tria
- Worm
- Arquivo
- Blindado
- Cluster
- Residente de memria
Vulnerabilidade
Qualquer caracterstica de um sistema que permita que algum o impea de operar
corretamente ou que permita a usurios no autorizados assumirem o controlo sobre ele.
W
Wep
Do ingls Wired equivalente Privacy, protocolo de segurana para redes sem fio que usa a
criptografia para a transmisso de dados.
Worm
Programa que faz cpias d si mesmo, por exemplo: de uma unidade de disco para outra,
atravs de e-mail ou outro mecanismo de transporte.ele pode danificar o computador e
comprometer sua segurana, apresentando-se sob a forma de algum software ou programa
brincalho.
121
122
12. A organizao capaz de identificar os seus ativos e saber o valor relativo e a importncia
dos mesmos?
13. elaborado e mantido um inventrio dos ativos importantes associados a cada sistema de
informao?
14. evitado o trabalho no supervisionado em reas seguras, tanto por motivo de segurana
como para no dar oportunidade a atividades mal intencionadas?
15. proibida a presena de equipamento fotogrfico, de vdeo, udio ou gravao, a no ser
com autorizao?
16. A organizao estabelece uma poltica referente aos atos de comer, beber e fumar nas
instalaes de processamento de informaes, locais restritos ou prximos a materiais
inflamveis?
Classificao das informaes
17. Existe uma classificao das informaes para assegurar que os ativos de informao
recebam um nvel de proteo adequado?
18. Sabendo-se que algumas informaes so mais sensveis e criticas do que outras e que
alguns itens podem exigir um nvel adicional de proteo ou manuseio especial tem sido
utilizado um sistema de classificao para definir um conjunto apropriado de nveis de
proteo e comunicar a necessidade de medidas especiais de manuseio?
19. As informaes so rotuladas para indicar at que ponto so criticas para a empresa,
quanto sua integridade e disponibilidade?
Sigilo das informaes
20. A empresa estabelece regras para a sada de informaes confidenciais da empresa?
21. Existe controle sobre o envio de informaes confidenciais?
22. permitido o envio deste tipo de informao pelo correio eletrnico? Isto controlado?
123
23. So definidos os colaboradores que devem ter acesso s informaes confidenciais dentro
do departamento?
24. Existe poltica de mesa vazia e tela vazia para reduzir o risco de acessos no autorizados
ou danos a documentos, mdia e instalaes de processamento de informaes?
Autorizao para uso de recursos tecnolgicos
25. Os acessos aos recursos tecnolgicos so definidos conforme a necessidade de cada
usurio?
26. A poltica define a hierarquia para solicitaes de acessos? Esta hierarquia utilizada na
prtica dentro do seu departamento?
27. A poltica estabelece que quando os usurios deixarem suas estaes de trabalho eles
devem bloquear as mesmas para evitar acessos no autorizados? Isso praticado? Se no qual
o motivo?
28. Nas estaes de trabalho so instalados apenas os aplicativos referentes tarefa do seu
departamento?
29. Voc tem permisso para fazer downloads e instalao de softwares em sua estao de
trabalho?
30. de seu conhecimento a hierarquia para solicitao de usurio ou novos acessos?
Proteo contra software malicioso e vrus
31. Seu computador possui um software de antivrus instalado?
32. A atualizao do antivrus automtica? Depende de alguma ao sua para atualizar?
33. Voc recebeu algum tipo de treinamento para a utilizao correta do antivrus?
34. A poltica da empresa estabelece o direito de recusa de determinados tipos de anexos ou
contedos contidos nas mensagens de correio eletrnico de seu conhecimento que
determinados arquivos no so permitidos enviar e receber?
124
125
126
01. O que o Sr. (a) entende por segurana da informao? (questionar sobre abrangncia e
processos)
02. Em reunies, eventos, visitas e bate papos em geral com outros empresrios j
conversaram sobre segurana da informao?
03. Qual a importncia da segurana da informao no ramo de atividade da empresa?
04. O Sr (a). tm conhecimento de algum documento que trate aspectos de segurana da
informao na empresa?
05. Em uma escala de 0 a 10 qual nota daria para a segurana da informao da empresa?
06. No segmento da empresa, tem noo se o que existe de segurana em sua empresa
compatvel com o da concorrncia?
07. Na sua viso de quem a responsabilidade pela segurana da informao?
08. Considera que a segurana da informao pode ser um diferencial competitivo da
empresa? Justifique.
09. Acha que a empresa j sofreu algum tipo de ataque?
10. Atualmente, a informao um ativo de grande valor para as empresas e cada vez mais
deve ser protegida como ou at melhor que qualquer outro ativo da empresa. Qual sua
perspectiva para a segurana da informao dentro de sua empresa nos prximos cinco anos?
127
128
10. evitado o trabalho no supervisionado em reas seguras, tanto por motivo de segurana
como para no dar oportunidade a atividades mal intencionadas?
11. As reas seguras desocupadas so trancadas fisicamente e inspecionadas periodicamente?
12. proibida a presena de equipamento fotogrfico, de vdeo, udio ou gravao, a no ser
com autorizao?
13. O material recebido inspecionado para detectar eventuais perigos antes de ser
transportado da rea de armazenagem provisria para o local de utilizao?
14. A organizao estabelece uma poltica referente aos atos de comer, beber e fumar nas
instalaes de processamento de informaes, locais restritos ou prximos a materiais
inflamveis?
15. Existe controle sobre a impresso de ordens de produo?
16. Se a ordem for perdida e o operador solicitar uma nova ordem, existe controle sobre este
procedimento?
17. No caso de uma nova solicitao de ordem exigido que traga a ordem velha, mesmo que
seja rasgada, suja ou com danos ao documento?
18. Na ordem de produo vem escrita a frmula de como fazer o produto ?
Classificao das informaes
19. Existe uma classificao das informaes para assegurar que os ativos de informao
recebam um nvel de proteo adequado?
20. Sabendo-se que algumas informaes so mais sensveis e crticas do que outras e que
alguns itens podem exigir um nvel adicional de proteo ou manuseio especial, tem sido
utilizado um sistema de classificao para definir um conjunto apropriado de nveis de
proteo e comunicar a necessidade de medidas especiais de manuseio?
21. As informaes so rotuladas para indicar at que ponto elas so criticas para a empresa,
quanto sua integridade e disponibilidade?
129
130
131
132
133
10. evitado o trabalho no supervisionado em reas seguras, tanto por motivo de segurana
como para no dar oportunidade a atividades mal intencionadas?
11. As reas seguras desocupadas so trancadas fisicamente e inspecionadas periodicamente?
12. proibida a presena de equipamento fotogrfico, de vdeo, udio ou gravao, a no ser
com autorizao?
13. A organizao estabelece uma poltica referente aos atos de comer, beber e fumar nas
instalaes de processamento de informaes, locais restritos ou prximos a materiais
inflamveis?
Classificao das informaes
14. Existe uma classificao das informaes para assegurar que os ativos de informao
recebam um nvel de proteo adequado?
15. Sabendo-se que algumas informaes so mais sensveis e crticas do que outras e que
alguns itens podem exigir um nvel adicional de proteo ou manuseio especial, tem sido
utilizado um sistema de classificao para definir um conjunto apropriado de nveis de
proteo e comunicar a necessidade de medidas especiais de manuseio?
16. As informaes e as sadas produzidas por sistemas que processam dados, so rotuladas
quanto ao seu valor e grau de sensibilidade para a empresa?
17. As informaes so rotuladas para indicar at que ponto elas so criticas para a empresa,
quanto sua integridade e disponibilidade?
18. As diretrizes de classificao levam em conta e prevem o fato de que a classificao de
um determinado item de informao no necessariamente imutvel no tempo e que pode
mudar de acordo com uma poltica pr-determinada?
19. A responsabilidade pela definio da classificao de uma determinada informao e pela
reviso peridica desta classificao delegada da pessoa que originou a informao ou do
gestor designado da informao?
134
135
32. Nas estaes de trabalho so instalados apenas os aplicativos referentes tarefa do seu
departamento?
33. Voc tem permisso para fazer downloads e instalao de softwares em sua estao de
trabalho?
34. de seu conhecimento a hierarquia para solicitao de usurio ou novos acessos?
Proteo contra software malicioso e vrus
35. Seu computador possui um software de anti-vrus instalado?
36. A atualizao do anti-vrus automtica ou depende de alguma ao sua para atualizar?
37. Voc recebeu algum tipo de treinamento para a utilizao correta do anti-vrus?
38. A poltica da empresa estabelece o direito de recusa de determinados tipos de anexos ou
contedos contidos nas mensagens de correio eletrnico? de seu conhecimento que
determinados arquivos no so permitidos enviar e receber?
39. A poltica estabelece que todos os softwares da empresa so homologados e todos os
direitos sobre os mesmos so da empresa e que nenhum funcionrio pode realizar upload
(enviar) de softwares.
Procedimentos para acesso internet
40. Existe uma poltica de acesso internet? de seu conhecimento?
41. Para a utilizao da internet necessrio um ID e uma senha? Algum tem conhecimento
de seu ID e senha?
42. Existe controle de contedo que permitido acessar na Internet? de seu conhecimento
como isto estabelecido?
43. Existe monitoramento sobre os acessos dos usurios? de seu conhecimento este
monitoramento?
44. Voc j recebeu algum treinamento sobre como utilizar a internet de maneira segura e
produtiva?
136
137
138
10. Existe uma classificao das informaes para assegurar que os ativos de informao
recebem um nvel de proteo adequado?
Sigilo das informaes
11. A empresa estabelece regras para a sada de informaes confidenciais da empresa?
12. Existe controle sobre o envio de informaes confidenciais?
13. permitido o envio deste tipo de informao pelo correio eletrnico? Isto controlado?
14. So definidos os colaboradores que devem ter acesso s informaes confidenciais dentro
do departamento?
15. evitado o trabalho no supervisionado em reas seguras, tanto por motivo de segurana
quanto para no dar oportunidade a atividades mal intencionadas?
16. As reas seguras desocupadas so trancadas fisicamente e inspecionadas periodicamente?
17. proibida a presena de equipamento fotogrfico, de vdeo, udio ou gravao, a no ser
com autorizao?
18. A organizao estabelece uma poltica referente aos atos de comer, beber e fumar nas
instalaes de processamento de informaes, locais restritos ou prximos a materiais
inflamveis?
Classificao das informaes
19. Existe uma classificao das informaes para assegurar que os ativos de informao
recebam um nvel de proteo adequado?
20. Sabendo-se que algumas informaes so mais sensveis e crticas do que outras e que
alguns itens podem exigir um nvel adicional de proteo ou manuseio especial, tem sido
utilizado um sistema de classificao para definir um conjunto apropriado de nveis de
proteo, e comunicar a necessidade de medidas especiais de manuseio?
21. As informaes e as sadas produzidas por sistemas que processam dados, so rotuladas
quanto ao seu valor e grau de sensibilidade para a empresa?
139
22. As informaes so rotuladas para indicar at que ponto elas so crticas para a empresa,
quanto sua integridade e disponibilidade?
23. As diretrizes de classificao levam em conta e prevem o fato de que a classificao de
um determinado item de informao no necessariamente imutvel no tempo, e que pode
mudar de acordo com uma poltica pr-determinada?
24. A responsabilidade pela definio da classificao de uma determinada informao e pela
reviso peridica desta classificao delegada da pessoa que originou a informao ou do
gestor designado da informao?
25. So abrangidos os ativos de informao tanto em formato fsico quanto em formato
eletrnico?
26. Para cada classificao so definidos procedimentos de manuseio referentes a tipos de
atividade de processamento da informao como: cpia, armazenagem, transmisso (oral, email, telefone, correio, celular) e descarte de mdias?
27. Os itens a serem levados em conta incluem: relatrios impressos, display na tela,
informaes gravadas (fita, disco, CD ROM), mensagens eletrnicas e transferncia de
arquivos?
28. Etiquetas fsicas (geralmente meio mais apropriado) so utilizadas na rotulagem?
Autorizao para uso de recursos tecnolgicos
29. Os acessos aos recursos tecnolgicos so definidos conforme a necessidade de cada
usurio?
30. A poltica define a hierarquia para solicitaes de acessos? Esta hierarquia utilizada na
prtica dentro do seu departamento?
31. A poltica estabelece que quando os usurios deixarem suas estaes de trabalho eles
devem bloquear as mesmas para evitar acessos no autorizados? Isso praticado? Caso no
seja, qual o motivo?
140
32. Nas estaes de trabalho so instalados apenas os aplicativos referentes tarefa do seu
departamento?
33. Voc tem permisso para fazer downloads e instalao de softwares em sua estao de
trabalho?
34. de seu conhecimento a hierarquia para solicitao de usurio ou novos acessos?
35. Existe poltica de mesa vazia e tela vazia para reduzir o risco de acessos no autorizados
ou danos documentos, mdia e instalaes de processamento de informaes?
Proteo contra software malicioso e vrus
36. Seu computador possui um software de anti-vrus instalado?
37. A atualizao do anti-vrus automtica ou depende de alguma ao sua para atualizar?
38.Voc recebeu algum tipo de treinamento para a utilizao correta do anti-vrus?
39. A poltica da empresa estabelece o direito de recusa de determinados tipos de anexos ou
contedos contidos nas mensagens de correio eletrnico? de seu conhecimento que
determinados arquivos no so permitidos enviar e receber?
40. A poltica estabelece que todos os softwares da empresa so homologados e todos os
direitos sobre os mesmos so da empresa e que nenhum funcionrio pode realizar upload
(enviar) de softwares.
Procedimentos para acesso internet
41. Existe uma poltica de acesso internet? de seu conhecimento?
42. Para a utilizao da internet necessrio um ID e uma senha/ Algum tem conhecimento
de seu ID e senha?
43. Existe controle do contedo que permitido acessar na Internet? de seu conhecimento?
Como isto estabelecido?
44. Existe monitoramento sobre os acessos dos usurios. de seu conhecimento este
monitoramento?
141
45. Voc j recebeu algum treinamento sobre como utilizar a internet de maneira segura e
produtiva?
Procedimentos para uso de correio eletrnico
46. Existe uma poltica para a utilizao de correio eletrnico. de seu conhecimento?
47. Quem o proprietrio dos e-mails que voc envia e recebe?
48. A poltica estabelece que no permitido o uso do correio eletrnico corporativo para fins
particulares. de seu conhecimento?
49. Existe algum treinamento sobre como utilizar o correio eletrnico de maneira adequada
poltica da empresa?
Gerenciamento, controle da rede, monitorao do uso e acesso aos sistemas.
50. Todas as solicitaes de acesso so formais e liberadas conforme a hierarquia definida na
poltica? Isso controlado no departamento?
51. Existe reviso peridica dos acessos?
Identificao e autenticao do usurio, senhas e processo de logon
52. A identificao do usurio individual? Existem senhas genricas no departamento?
53. Existe um nmero mnimo de caracteres para a criao de senha?
Controle de acesso fsico e proteo fsica as reas restritas
54. Existe controle de acesso sala em que esto os documentos de desenvolvimento?
55. Existe monitoramento por circuito fechado de TV s reas em que so armazenadas as
informaes confidenciais do departamento?
56. Existe sistema de combate a incndio prximo sala em que esto armazenadas as
informaes confidenciais?
57. Existe sistema de deteco de fumaa?
Segurana e tratamento de mdias
142
58. Existem procedimentos para descarte de mdias (CDs, impressos, disquetes, Hds, etc)?
de conhecimento de todos do departamento?
143
144
145
24. As informaes e as sadas produzidas por sistemas que processam dados, so rotuladas
quanto ao seu valor e grau de sensibilidade para a empresa?
25. As informaes so rotuladas para indicar at que ponto elas so criticas para a empresa,
quanto sua integridade e disponibilidade?
26. As diretrizes de classificao levam em conta e prevem o fato de que a classificao de
um determinado item de informao no necessariamente imutvel no tempo e que pode
mudar de acordo com uma poltica pr-determinada?
27. A responsabilidade pela definio da classificao de uma determinada informao e pela
reviso peridica desta classificao delegada da pessoa que originou a informao ou do
gestor designado da informao?
28. So abrangidos os ativos de informao tanto em formato fsico quanto em formato
eletrnico?
29. Para cada classificao so definidos procedimentos de manuseio referentes a tipos de
atividade de processamento da informao como: cpia, armazenagem, transmisso (oral, email, telefone, correio, celular) e descarte de mdias?
30. Os itens a serem levados em conta incluem relatrios impressos, display na tela,
informaes gravadas (fita, disco, CD ROM), mensagens eletrnicas e transferncia de
arquivos?
31. Etiquetas fsicas (geralmente meio mais apropriado) so utilizadas na rotulagem?
Sigilo das informaes
32. A poltica estabelece regras para a sada de informaes confidenciais da empresa?
33. Existe controle sobre o envio de informaes confidenciais?
34. permitido o envio deste tipo de informao pelo correio eletrnico? Isto controlado?
35. So definidos os colaboradores que devem ter acesso s informaes confidenciais?
36. Existe algum termo de confidencialidade quando funcionrios so contratados?
146
147
148
149
150
151
Confirmo que li e entendi a Poltica de Segurana da Informao e que irei seguir todas as
determinaes por ela realizadas fielmente.
Local, ___ de ____________ de 20__.
___________________________________
Nome e assinatura do Colaborador