SEGURANCA CIBERNETICA EM ORGANIZACOES DISTRIBUIDAS: ESTUDO DE CASO DA SOLUGAO IMPLEMENTADA EM UMA INSTITUICAO PUBLICA GONGALVES, E. L. 0.; AMARAL', J. B. L; BRUSAMOLIN, V; ZAMPIERI, J. A. RESUMO RESUMO - Este artigo investiga como procedimentos, hardware e software podem ser integrados, a fim de oferecer segura © ataques hackers, ou seja, defesa cibernética, em sistemas de comunicagao de dados em organizagdes distribuidas. Um estudo de caso foi realizado ‘em uma organizagao publica composta por vinte e duas filiais interligadas, que teve a necessidade de projetar e implantar uma solugo de seguranca. Como resultado, obteve-se uma solugdo arquiteténica satisfatéria ¢ uma série de procedimentos que podem ser adaptados @ outras organizagdes que desejam implantar priticas de seguranga da informagao, ‘a contra invasd Palavras-chaye: Seguranca da Informagao. Controle de Acesso. Defesa Cibemética, Cyber security in distributed organizations: a case study of the solution implemented in a public institution ABSTRACT. ABSTRACT - This article investigates how hardware and software can be integrated in order to provide security against intrusions and attack, i.e. cyber defense, in data communications systems in distributed organizations. A case study was carried out upon a public organization which is composed by twenty-two interconnected branches that had the need for designing and deploying a security solution. Asa result, a satisfactory architectural solution and a series of procedures that can be adapted to other organizations wishing to deploy information security practices were obtained. Key words: Information Security. Cyber Defense. Access Control. ‘TRODUGAO comunicagio eletrénica ocorre com uma pessoa nas proximidades ou no outro lado do planeta, A A evolugdo dos dispositivos de telecomunicagées ¢ de informatica proporcionou na forma de dados, voz, imagem e video uma facilidade de comunicago interpessoal sem i ‘tecnologia aparenta igualar as distancias mediante o veloz transporte de grandes volumes de informagio precedentes. A distincia ji nao constitui um AS organizagdes passaram a aproveitar tais ‘obsticulo ao usuério, pois Ihe ¢ indiferente se a teenologias como mecanismo de comunica¢ao, Clete: ono tsurada@igmail.som, ‘Revista das Raculdades Sania Cruz, v9, 8.1, jancirljunio 3013 6GONGALVES, FO, AMARAL, J.B, T; BRUSAMOLIN, Vi; ZAMPIERL 1A, reduzindo custos © aumentando a quantidade © velocidade das mensagens. A interligago das diferentes instalagdes de uma grande organizagio, ou da organizagao com seus clientes ¢ fornecedores, geralmente s6 & economicamente vidvel com 0 uso da rede mundial de computadores, @ Internet, um vasto espago digital em que milhdes de entidades trocam informagées. © uso da infraestrutura compartithada da Internet, entretanto, possibilita que vulnerabilidades tecnoligicas sejam exploradas por estelionatétios, fraudadores, hackers ¢ criminosos em geral, lesionando tanto as finangas quanto a imagem de onganizagdes. Nesse contexto, a comunicagao segura & essencial, pois além da necessidade de preservar seus dados ¢ segredos comerciais, dispositivos legais as obrigam a proteger informagdes de seus funciondrios, parceiros e clientes. Como combinar equipamentos, politicas técnicas de seguranga de forma adequada para proteger a rede de comunicagdes de dados de uma organizagdo, com diversas instalagdes interconectadas pela Intemet? © presente artigo compartitha uma sequéncia de passos e a solugo arquitetural adotada em uma instituigo que possui 22 (vinte e duas) instalagdes interligadas por rede de dados, que tem apresentado resultados satisfatérios. tende-se que as técnicas podem ser adaptadas para outras organizagdes que desejem adotar praticas de protegao informacional. 2METODOLOGIA Foi realizado 0 estudo de caso em uma otganizagao que possui filiais interligadas, em que foi implantada uma solugo de seguranga da informago para bloquear os crescentes ataques aos seus sistemas de comunicagdes de dados. Os técnicos responséveis pela concepgio da solucao foram entrevistados. A partir das entrevistas, claborou-se uma descrigao das atividades execuitadas, enfatizando os aspectos arquiteturais. © embasamento teérico apresenta o resultado de uma pesquisa documental sobre os conceitos bésicos utilizados pelos profissionais no desenvolvimento dos trabalhos. 64 3EMBASAMENTO TEORICO Aparatos tecnolégicos empregados na TI relacionados 4 Seguranga da Informagio A implementagdo de priticas de seguranga da informagdo & realizada pot meio da cotreta instalagio © configuragio de equipamentos que suportam os requisitos, por intermédio de uma série de comportamentos e protocolos. A seguir, uma lista de equipamentos, protocolos © conceitos que, uitilizados nas redes de computadores, materializam, os comportamentos, modos de operagdo, agregados Jogicos e¢ administrativos necessarios @ uma instalagio segura: + IPS - Intrusion Prevention System: sistema de detecgdo que identifica tentativas de invasio na rede © encetra a conexio suspeita, Geralmente utiliza um banco de dados com assinaturas de ataques ja conhecidos, IDS - Intrusion Detection System: sistema de detecg#o que bust anomalias na rede causadas por invasores. Gera alertas apés a rede jé haver sido invadida. identificar Firewall: “dispositivo de seguranca, que visa realizar a filttagem daquilo que é oundo permitido ser acessado em uma rede, seja 0 avesso proveniente da rede interna ou da rede externa”. Nesse equipamento, o bloqueio & realizado por enderegos ou portas especificas, por tipo de pacotes ou por tipo de protocolo, Para que seja eficaz, todo o tréfego originado ou destinado a rede protegida deve ser obrigado a atravess Segmentaco de redes: considerando um grupo de méquinas arbitrariamente grande, na casa das centenas ou milhares, interligados na mesma rede ldgica, A quantidade de colisdes de pacotes ¢ de broadcast resultante poderd causar lentidao ‘ou mesmo impossibilitar a operago da rede, Outra desvantagem resultante € a facilidade de comunicagao direta entre as équinas, criando um ambiente perfeito para a disseminagdo de virus, worms © outros. malwares. Ao segmentar os Revista das Faculdades Sania Gr, . 9, n. 1, jancraljunio 2013,Seguranga cibernética em organizagbes distribuidas: estudo de caso da solugdo implementada em uma instituigao pblica computadores em grupos légicos pela configuragio de red colisées ¢ obrigam-se os pacotes a atravessar um roteador para alcangar outro grupo. F proporcionada por meio de roteadores que podem conter ACL's determinando o tipo de tréfego aceitavel de ‘um grupo para outro. diminuem-se as Proxy HTTP: servidor que recebe as requisigdes destinadas & Internet ¢, apds submeter a anilise de suas ACL, encaminha © pedido ao website extemo. A resposta normalmente ficard em cache, de forma que as consultas subsequentes ao mesmo destino serdo imediatamente atendidas, sem necessidade de nova consulta ao website Esse mecanismo proporciona grande velocidade de acesso a0 usuario final e economia de recursos no link de acesso, UPS (Uninterruptable Power Supply): fonte de energia ininterrupta; no Brasil ¢ popularmente chamada de “nobreak”” as Virtuais Servidor de Maq (hospedeiro): sistema operacional ou médulo que propicia melhor utilizagao da capacidade do hardware existente, no qual um tinico servidor fisico pode hospedar diversas maquinas virtualizadas, inclusive com sistema operacionais diferentes. A utilizago de maquinas virtuais apresenta diversas vantagens na operagao: E possivel criar “clones” de maquinas Virtuais com um simples comando. Esse clone pode ser uilizado para homologar uma corres e/ou atualizagao antes de aplicé-la no sistema em produgio, sem causar paradas desnecessérias, ou mesmo para gerar 0 backup de um sistema inteiro em poucos segundos. Possibilita a migragdo das méquinas virtuais de um hardware a outro, mesmo sem a interrupgao dos servigos, permitindo fazer a manutengio no hardware de servidores sem interromper aprodugao. + Todos os servidores sao instalados em tum tinico tipo de hardware, padronizado pela méquina virtual. © aproveitamento do hardware existente, a economia de espago fisico em racks ¢ ar condicionado propiciam significativa redugdo de custos de operagao. E possivel executar varios sistemas operacionais no mesmo equipamento simultaneamente. As ferramentas de gerenciamento permitem redugdo de tempos de parada, {acilidades na recuperagii economia de pessoal na operagao. jo de desastres e Gerenciamento de TI e Seguranga da Informagio A busca de uma solugtio que o! satisfatéria a seus usuarios € um assunto tao complexo quanto 0 ambiente tecnolégico que 0 suporta, ¢ as relagGes entre as entidades que o utilizam. Em decorréncia dessa _complexidade, toma-se importante observar 9 ambiente por diversos angulos. Usualmente, inicia-se resolvendo os aspectos técnicos: a organizagao légica da rede, que pode ser centralizada ou distribuida. O ponto de vista administrativo é deixado para uma segunda fase, na maioria das implementagdes. ega seguranga A entidade com maior reconhecimento mundial na preparagao de profissionais da érea de Seguranga da Informagio & a International Information Systems Security Certification Consortium (ISC), que congrega milhares de profissionais em todos os continentes. Essa entidade condensou em dez dreas, de concentrago ou “dominios” os diversos conhecimentos que, uma vez aplicados, materializam a Seguranga da Informagao, de modo a facilitar sua compreensio, estudo ¢ aplicagio. Ela chama este cabedal de CBK (Commom Body of, Knowlwedge), que pode ser traduzido como “Corpo Comum de Conhecimentos”. 0 profissional aprovado por essa entidade recebe a certificagao CISSP® - Certified Information Systems Security Professional. ACL (acess contol lis) uma lisa que dessreve egrasa sere instladas em um equpamento ‘Revista das Raculdades Sania Cruz, v9, 8.1, jancirljunio 3013 65GONGALVES, FO, AMARAL, J.B, T; BRUSAMOLIN, Vi; ZAMPIERL 1A, ssidade de garantir que a TI entregue valor a seus usuérios também & preocupagao de outras entidades, como a Information Systems Audit and Control Association (ISACA), que publica 0 framework Control Objectives for Information and Related Technology (COBIT), cujo enfoque € no sentido da govemanga, ¢ a Office for Government Commerce (OGC) da Inglaterra, que publica a norma ITIL v3, voltada 20 gerenciamento. Essas entidades ocupam-se de asp. € ainda que suas normas possuam alguma sobreposigao, elas costumam ser utilizadas de maneira complementar, aproveitando-se os pontos de cada uma que melhor se adaptam & organizagio considerada, obtendo-se assim uma ampla cobertura, que nenhuma das duas oferece sozinha, tos especificos da TI, Apesar da necessidade de considerara Seguranga Cibemética sob os diversos Angulos apresentados, considera-se neste artigo somente uma das facetas mais sensiveis: a gestdo da seguranga da informagio aliada aos requisitos © técnicas de controle de acesso, Porém, para isso, faz-se necessério explorar o conceito utilizado por todo o cabedal de seguranca da informagio, que coresponde a triade da Seguranga da Informagao, CID - confidencialidade, integridade e disponibilidade (Pagina 4 -Access Control): + Confidencialidade: prevenir 0 acesso a informagdes riticas que possuem um determinado rétulo de classificagao; + Integridade: impedir mudangas nao autorizadas ou modificagdes imprdprias por pessoas autorizadas; + Disponibilidade: garantir que a informagao estaré disponivel para acesso no momento em que um sujeito autorizado desejarteracesso. O planejamento de Seguranga da Informagio A dificuldade de um Gestor de Seguranga da Informagdo na implantagdo da seguranga cibemética esbarra, na maioria das vezes, na definigio do escopo de trabalho (0 que realmente deve fazer parte da Arquitetura de Seguranga da Informagao da organizagao) e do tipo de controle de acesso que vai permear essa arquitetura, Para clarear esses pontos, 0 planejamento da Seguranga 66 Cibernética tem inicio com as seguintes tarefas: Aprovagdo do Programa de Seguranga pela Alta Diregéo da Organizacao. © Programa de Seguranga da Informagao corresponde a um esforgo de diversos setores da organizagdo, principalmente da alta diregdo, que 0 institui e mantém, sendo seus objetivos prineipais: + Criar uma estrutura légica que possibilite a implementago de controles; + Padronizar a estrutura para as diversas plataformas tecnolégicas; + Considerar os diversos tipos de usuétios, quer sejam clientes ou parceiros; + Atenderaos requisitos legais; + Criar acesso 4 informagao com Autenticagio e Autorizagao. semelhantes em todos os ambientes; + Planejar a disponibilidade da informagdo para suportar o ambiente de negécios; + Ser flexivel ¢ adaptar-se as mudangas do ambiente; e + Ser profundamente comprometido com as necessidades da organizacao. Como o nome sugete, 0 Programa de Seguranga da Informagéo € 0 esforgo para planejar © implementar uma solugdo de protegdo a informagao, que atenda as necessidades de toda a organizagao & que mantenha sua coeréneia ao passar-se de um a outro departamento, evitando que haja solugo de continuidade ¢ falhas de seguranga, sendo um importante requisito interoperabilidade entre sistemas distintos, A escolha de solugdes deve contemplar todo 0 parque instalado e sistemas disponiveis, sendo que ‘um ponto importante a observar éevitar-sea escolha de uma solugdo que tome a organizagio refém de um. ‘inico fornecedor ou tecnologia, por intermédio da ‘busca por flexibitidade e padres abertos, sempre que possivel A norma de referéncia para esse programa de seguranca é a ABNT NBR ISO/IEC 27002:2005, Revista das Faculdades Sania Gr, . 9, n. 1, jancraljunio 2013,Seguranga cibernética em organizagbes distribuidas: estudo de caso da solugdo implementada em uma instituigao pblica que tem ampla aceitagdo no mercado ¢ consolida as melhores priticas em Seguranga da Informagao, conforme a ISO 27001. Seu objetivo ¢ demonstrar que a seguranga cibemnética ¢ resultado de um conjunto de ages, com planejamento apoiado pela alta direcdo da organizagao, € que sua implantagao deve obedecer a critérios técnicos, embora sempre alinhada visio do negécio. Para estruturar essa arquitetura de seguranga € daramparo legal as agdes subsequentes, énecessario criar um corpo de Politicas, Normas ¢ Procedimentos que suportardo ¢ dardo validade legal aos processos de seguranga da informagio. Isso deve ser iniciado e endossado pela alta diregio da organizagdo. Segundo FONTES, 2008, esse corpo de regulamentos deve contemplar os aspectos mais importantes de seguranga da informaga buscando pelo menos os seguintes requisitos: + Protegdo do ambiente fisico: cuidados a serem observados tanto no controle de pessoas computadores © equipamentos de redes, quanto nos cuidados com relagao a energia protegdo contra incéndio. trica, ar condicionado ¢ sistemas de + Desenvolvimento ¢ implantagdo de aplicagdes: para o desenvolvimento interno, é importante que se escolha uma metodologia com ampla aceitago no mercado, evitando assim a dependéncia de um iinico grupo ou profissional. Também sdo importantes a produgdo e a preservagio da documentagdo (requisitos, projetos, aceitagio, documentagio de cédigo fonte, etc). Na implantagdo, & de grande relevancia observar rigotosamente os testes de aceite e a fase de migragdo dos dados. Como estratégia segura, & interessante manter os dois sistemas em paralelo durante algum tempo, pelo menos até que sejam feitas algumas consolidagdes mensais, por exemplo, para que haja um ponto de controle cujo ciclo seja maior € que possa ser usado como comparagiio com sistema anterior. testes de + Protegdo dos recursos de TI: protegdo da rede de computadores, pelo emprego de recursos de protegdo ¢ detecgdo de ataques a ‘Revista das Raculdades Sania Cruz, v9, 8.1, jancirljunio 3013 redes de computadores, tais como firewalls e Intrusion Detection System (IDS)/Intrusion Prevention System (IPS). Protecio individual das maquinas, iniciando pela descoberta € corregio de fathas de seguranga em sistemas operacionais, por meio de atualizagdes de seguranga, inclusive, se necessério, com atualizagdes de firmware dos equipamentos dedicados, Classificagao da informagio Definigdo dos niveis de sigilo da informagao edo nivel de acesso dos funcionétios, principalmente dos Gestores e Custodiantes da informagao. Garantia do acesso a informagio Para garantir a 0 acesso a informagio, & necessdrio criar regras e mecanismos que protejam a informagio, liberando o acesso somente 3s pessoas, autorizadas (¢ gerando 0 histérico dos acessos negados/autorizados), + Gest de identidade: como identificar os usudrios e manter atualizados os dados dos usudrios autorizados: cadastro, alteragdo, revogagdo de acessos, ete; + Gestio de autenticacio: verificagao da veracidade do usuario e escolha das técnicas de autenticagdo utilizadas pela organizacaio; + Gestio de autorizagio: criago de regras de acesso, criagdo e manutengao de perfis de acesso, verificagdo de que o usuario possuio perfil necessério para acesso a informagao. Plancjamento decontingéncias Solugdes © procedimentos necessérios para as situagdes que ameacem a sobrevivéncia da organizagdo, buscando diminuit os impactos © restaurar a capacidade operacional no mais curto prazo, Garantir aresiligncia operacional: necessério estabeles + mecanismos que incorporem tratamento das situagdes adversas a0 orGONGALVES, FL. 0 AMARAL, J.B. BRUSAMOLIN, Vj ZAMPIERI, 1. A, cotidiano das operagdes. Os frameworks de gestdo de TI sao excelentes modelos para a organizagdo da TI, © 0 framework ITIL contempla essas necessidades com 0 proceso de Gestio de Problemas, Gestdo de Recursos, Gestdo de ‘Mudangas e Gestio de Capacidade. Figura: Programa Corporativo de SI (FONTES, 2008, adaptado pelos autores) ‘Tratamento dos incidentes de seguranca Em organizagdes de maior porte, € necessaria ‘uma equipe com capacidade técnica e recursos para realizar a deteccdo de incidentes de seguranga, © tratamento inicial, 0 registro € o encaminhamento para a solugdo definitiva, que muitas vezes gerard mudangas de procedimentos, tecnologias ¢ processos. Essa equipe & conhecida pela sigla CSIRT (Computer Security Incident Response Team) Prevengao de fraudes Os recursos de TI, como a possibilidade de acesso remoto a outros equipamentos, facilidade de copiar informagées por meio da rede e de modificar ‘os dados armazenados sem que haja contato fisico por parte dos usudtios, possibilitam que ocorram fraudes praticamente indet i estudar os processos sistemas em uso para dificultar ao méximo o mau uso dos recursos de TI disponiveis. A atividade de coleta de registros de avesso ¢ auditoria nos processos arquivados ¢ parte fundamental da seguranga de TI. taveis. Ene Preservagio de evidéncias de crimes digitais Para realizar a pericia forense computacional, além dos equipamentos especificos © infraestrutura minima de coleta de dados, é necessério treinamento especifico para que as equipes de TI saibam pteservar ¢ coletar indicios de fraudes e crimes digitais, A coleta e preservacdo é muito dificultada pela volatilidade dos dados, que podem estar presentes apenas em registradores (componentes do processador) ou em meméria RAM’. Criagao de cargos efungdes deseguranga Para que seja efetiva, a equipe de seguranga deve ser incorporada ao organograma da organizagao, com fungGes e escopos de atuagao bem delimitados. Se.a equipe de seguranga ndo for definida, é comum que as tarefas de seguranga acabem sendo relegadas a segundo plano ou mesmo abandonados apés certo tempo. Também é desejével que nio haja subordinagdo da equipe de seguranga as equipes de operagao, pois normalmente ocorrerao conflitos de interesse entre a fiscalizagio © a execugdo das tarefas. Programas deconscientizagio Todo o esforgo de garantir a seguranga confrontado com o interesse © cultura de seus usuarios. Fi necessdrio gerenciar a criagdo de cursos € eventos para treinar e conscientizar os colaboradores. © programa deve ser orientado pelas, Politicas de Seguranga da organizagio © pelo ambiente operacional real, fazendo as atualizagoes de acordo com as mudangas de ambiente, estrutura, tecnologias eameagas. A figura a seguir sintetiza os aspectos mais importantes de um programa corporativo de seguranga da informagao, 4DESENVOLVIMENTO. Ambiente inicial A organizagdo objeto deste estudo de caso, aqui denominada XYZ, entidade de direito piblico, possui algumas caracteristicas que a diferenciam de suas congéneres de direito privado, tais como a baixa rotatividade de colaboradores, a dependéncia de politicas piblicas © a submissio de seus atos & "RAM (Ramdom Acoess Memory) éaparteda meméraprinspal ond os programassio cargades exceuados [5] 68 ‘evista das Raculdades Santa Cruz, v.93 1, jancivljunio 2013Seguranga cibernética em organizagbes distribuidas: estudo de caso da solugdo implementada em uma instituigao pblica fiscalizagdo administrativa por érgdos de controle. Essa organizagdo prové servigos para vinte e dois clientes internos, Cada um dos quais possuidor de caracteristicas, piblico © objetives distintos. 0 provedor de servigos ¢ os clientes possuem graus de interdependéncia variados entre si, Cinco clientes possuem autonomia financeira, orgamento © planejamento proprios, enquanto os restantes subordinados a um érgdo central que controla os ‘otgamentos ¢ coordena as operagies. Na area de Tecnologia da Informagio e Comunicagées (TIC), a XYZ possui uma Divisio de ‘Tecnologia da Informagao (DTI), que presta suporte 44 matriz.e coordena algumas atividades das fiiais. Porém, cada filial conta com sua propria equipe de suporte técnico e realiza seus controles de acesso de forma independente, exceto algumas atividades de TIC que envolvem mais de uma filial ¢ que coordenadas pela DTI. esse ambiente departamentalizado, em que cada organizagio possui objetivos © piblicos diferentes da outra, estabel independentes ¢ fechados, a semelhanga de pequenos “feudos", no qual as regras © grau de controle dependiam quase que exclusivamente da capacidade e interesse da equipe local eram-se_ambientes A automatizagdo dos sistemas administrativos ¢ de controle modificou os processos organizacionais, pois a informacdo, que circulava por via de documentos impressos, passou a ser produzida digitalmente e distribuida por meio eletrénico. Para facilitara administragdo dos sistemas e circulago da informagdo, a hospedagem dos sistemas informatizados foi centralizada na matriz e estabel ram-sc enlaces de redes com as filiais, Nesse novo cendrio, com toda a organizagao interconectada, os efeitos de incidentes de seguranga, em qualquer um dos muitos equipamentos, passaram a afetar toda a rede. Por exemplo, a contaminagdo de um equipamento pelo virus residente no pendrive pessoal de um colaborador, agora afetava a todos os computadores da organizagao, pois a conectividade & explorada pelos agentes maliciosos para se disseminar rapidamente por todo o sistema Plancjamento da Solugao ‘Revista das Raculdades Sania Cruz, v9, 8.1, jancirljunio 3013 Gestdo de Seguranga da Informagaio ‘A vulnerabilidade da rede de computadores da otganizagao, que passou de uma situagao de pontos, isolados para uma rede totalmente interconectada, gerou a necessidade de que a DTI identificasse os novos requisitos de seguranga, Noticias constantemente veiculadas pela midia divulgam que grandes empresas ¢ governos sio alvos frequentes de ataques de grupos de hackers, gerando muitas vezes graves prejuizos financeiros, perda de informagées privadas de clientes © consequente perda de confianga na organizagao. Constatou-se que a descentralizagao ainda existia em alguns pontos, remanescente da situagio de isolamento anterior, juntamente com a falta de procedimentos padronizados e que tais fatos poderiam propiciar falhas graves de seguranga. Para vencer as resisténcias as priticas de seguranga, a DTI valeu-se de noticias divulgadas sobre os sucessos de grupos hackers para sensibilizar a diretoria da XYZ no sentido de iniciar um programa corporativo de seguranga da informagao, buscando difundir e aplicar as melhores priticas, harmonizar as tecnologias utilizadas e padronizar solugées entre asfiliais. ‘A Comissio de Seguranga da Informasao (cst ‘A primeira providéneia da DTI foi obter a aprovago da diretoria para estabelecer_ uma comissio de gestio de seguranga da informagao (CSD, a fim de estabelecer objetivos e definir 0 escopo de atuagao. Houve a tentativa inicial de envolver gerentes de outras areas da organizagao no trabalho de listar objetivos e requisitos de seguranga da informagio, devido ao conhecimento que cada um possuia sobre sua area de atuagdo, porém sem sucesso, pois culturalmente o termo “seguranga da informagio” era percebido como sendo atribuigio exclusiva da DTI, de forma que a comissdo foi composta por téenicos e pelo Diretor de TI, no se conseguindo incluirusuérios na equipe. Seguindo as recomendagdes da norma ABNT NBR ISO/IEC 27002:2005 (pigs 'x'8,24,29,108- 111), que trata de priticas para a seguranga da informagdo, a comissio definiu os seguintes 69GONGALVES, FO, AMARAL, J.B, T; BRUSAMOLIN, Vi; ZAMPIERL 1A, controles como prioritirios, tendo como base seu conhecimento inicial da situagdo da organizagao: + protegio de dados ¢ privacidade de informagdes_pessoais. privacidade, protegido pela Constituigdo Federal em seu artigo 5°, impde as organizagdes que protejam os dados pessoais ¢ a privacidade de informagoe pessoais de seus funciondtios, clientes, fomecedores © associados de qualquer natureza, que possuam registros sob responsabilidade da organizacao. © direito a ptotecdo de registtos organizacionais: & necessirio definir normas para retengio, armazenamento, tratamento e disposigao de registtos, manter um inventério das fontes de informasa0 mais importantes ¢ implementar controles apropriados que os protejam de perdas, falsificagdo ¢ destruiga0; documento de Politica de Seguranga da Informagdo: define a seguranga da informagao, seus prineipios, metas ¢ escopo, ¢ a estrutura do gerenciamento de risco; alinha os prine‘pios de seguranga com 08 objetivos organizacionais, legislagao, normas e contratos vigentes; define responsabilidades gerais © especificas, as consequéncias das violagdes da politica de seguranga e serve claramente como marco da politica geral da organizagdo, a qual todos os individuos e organizagdes que se relacionam com amesma devem conhecere respeitar. io de vulnerabilidade + ge téenicas: quando as vulnerabilidades técnicas, tais como falhas de implementasao, bugs e erros conhecidos em aplicagées operacionais sao divulgados, inicia-se uma cortida: 0s fabricantes e usuarios buscam a corrego ou mitigago ¢ os hackers tentam aproveitar-se desaa fraqueza para desferir ataques cibernéticos. E necessaria a criagao de procedimentos de teste, corresio e entrega de novas versdes, bem como a manutengao de uma base de informagdes ¢ pessoal capacitado para aplicar as corregées oumedidas, a fim de mitigar os riscos. ©. sistemas 70 + gestio de incidentes de seguranga da informagdo e melhorias: € necessério definir responsabilidades e procedimentos que garantam 0 monitoramento, a avaliagio © a gestio dos incidentes de seguranga Alguns casos exigem a realizagao de testes especificos em outros, quando se suspeita de violagdes da politica de seguranga ou mesmo da ocorréncia de crimes, tora-se necessirio realizar a pericia forense em computadores ¢ equipamentos de TI. Apés avaliagdo dos danos causados e da causa- raiz, é importante incorporar as rotinas de protesiio as ligdes aprendidas com o incidente, aplicando mudangas corretivas noambiente. Diagnéstico da situagio inicial © préximo trabalho da CSI foi realizar um diagndstico de situagao da matrz ¢ filiais, obtendo um inventério da infraestrutura, equipamentos, enlaces de rede e pessoal Concluido o levantamento, ficou claro para a CSI que a maior ameaga existente a seguranga era a ‘porosidade” da rede, ou seja, o grande mimero de Todas as filiais possufam acesso a Intemet, sendo que algumas possuiam mais, de um link de acesso, As protegées instaladas nao se mostraram adequadas em nenhuma das filiais e nem ‘mesmo na matriz, A existéncia de diversos acessos & Internet, com baixo controle e parcos recursos de seguranga, permitiria facilmente da organizagao ea invasio por hackers. conexdes existentes. evasio de dados A inexisténcia de controles adequados nas filiais, bem como a falta de registros dos acessos, colaboraram no sentido de definir como prioritaria a melhoria da interligagao entre as redes da matriz © das filiais e a centraliza¢ao do acesso 4 Internet, estabelecendo que as filiais iriam acessar a Rede Mundial unicamente por meio da matriz, resultando entio em uma rede mais protegida e segura, com um. {inico ponto deacesso i Internet. A capacitagdo do pessoal, tanto da matriz quanto das filiais, observada no relatério, comprovoua falta de conhecimentos especificos na area de seguranga da informagdo em toda a organizago, gerando a necessidade de um plano de capacitago que Revista das Faculdades Sania Gr, . 9, n. 1, jancraljunio 2013,Seguranga cibernética em organizagbes distribuidas: estudo de caso da solugdo implementada em uma instituigao pblica suprise as necessidades atuais e futuras de ptofissionais especializados. © levantamento realizado permitiu 0 planejamento das ages a serem empreendidas, gerando quatro produtos: + Plano de Gerenciamento de ‘TI: para atender plenamente os controles recomendados pela norma ABNT NBR ISO/IEC 27002:2005 optou-se em aderit aos padrdes da indistria, tais como ITIL COBIT, ainda que esse proceso leve um tempo maior de implementagio, Plano de Capacitagéo de Pessoal: definigdo de perfil éenico do pessoal de Tle contratagdo de cursos para capacitago que permitam implantar a seguranga imediatamente, eo gerenciamento em uma segunda fase, Projeto de Atualizagio das Normas de Seguranga da organizaco, unificando as diversas regras existentes na matriz © nas filiais e publicando a Politica de Seguranga da Informagdo e Comunicagdes (PoSIC). Projeto Centralizagao de Internet (PCD): para melhoria imediata da interligagao matriz-filiais e contratagdo do. link centralizado de acesso & Internet com a infiaestrutura necesséia Plano de Gerenciamento deTI ‘Ao realizar o estudo da situagio da TI na organizagdo, ficou evidente a necessidade de um planejamento que considerasse 0 melhor emprego dos recursos financeiros, a necessidade de padronizagio de tecnologias e maior controle da TI. ‘A necessidade de oferecer melhor suporte a0 negécio, diminuigdo de tempos de atendimento aumento da capacidade de disponibilidade da TI é enderegado pelos frameworks de gestio de TI, como © ITIL v3 € 0 COBIT 5, cujo foco & justamente geréncia de servigos e governanga de TI, respectivamente Integrando 0 gerenciamento, foi criado um calendatio de visitas téenicas da DTI as filiais, nas quais foram verificados os dados existentes e as condigdes da infraestrutura, equipamentos ‘Revista das Raculdades Sania Cruz, v9, 8.1, jancirljunio 3013 procedimentos de trabalho, bem como realizados ajustes ¢ configuragdes de equipamentos. Plano de Capacitacio de Pessoal Para que fossem implantados os controles definidos previamente, tornou-se necesséria a capacitagdo das equipes de TI. O planejamento de capacitagao considerou ser importante concentrar esforgosna equipe que seria responsiivel por garantir a seguranga da informagdo, uma vez que essa deveria manter a disponibilidade do tinico acesso & Internet doravante disponivel, sob pena de isolar a instituicao. Visando facilitar o treinamento ¢ tornar mais efetivo o emprego dos profissionais, foram definidas duas linhas de preparagao do pessoal: + Linha Gerencial: capacitando ao estudo, andlise e planejamento atual e futuro pelos analistase chefes de equipe; + Linha Operacional: capacitando os téenicos © analistas para 0 emprego imediatona seguranga da rede A capacitagao da equipe de TI para atingir os objetivos levantados contemplou os cursos a seguir listados, escolhidos apés consulta das Tevantamento de informagdes com. profissionais, posstiidores dos cursos sobre a real necessidade utilizago dos conhecimentos na protegdo da rede de computadores: ementas © Linha Gerencial, com cursos nos niveis técnico ¢ gerencial: + ITIL Foundations, para toda a equipe: 0 framework ITIL v3 é reconhecido mundialmente como sendo as melhores praticas de gestdo para servigos de TI. + Auditor Lider de seguranga da Informagio~ ISO 27001, para toda a equipe, pela necessidade de vistoriar e orientar os trabalhos das filiais, bem como gerar relatérios ¢ procedimentos para toda a otganizagao © ministrar capacitagdo € conscientizagdo aos demais funcionérios. + COBIT, para os analistas: a organizagdo que supervisiona e mantém financeiramente a XYZ tem entre seus objetivos estratégicos 1GONGALVES, FO, AMARAL, J.B, T; BRUSAMOLIN, Vi; ZAMPIERL 1A, a governanca, O framework COBIT ¢ adequado ao objetivo da mantenedora ao trabalhar com Governanga de TI ¢ complementa os planejamentos j4 realizados comITIL. + Preparatério para certificagao CISSP, para os analistas: a certificagdo CISSP ¢ a mais, reconhecida na area de seguranga da informagao pelos préprios profissionais, pela preparagdo em nivel gerencial ¢ pela abrangéncia de assuntos abordados, a qual se divide didaticamente a Seguranga da Informagaio em dez (10) areas tematicas Linha Operacional, com cursos nas areas de seguranga de redes: + Seguranga da Informagao - Conscientizagao e Treinamento: capacitagao de funcionérios na aplicagao da PoSIC. Curso interno, ministrado pelos integrantes da CSIRT. + Gerenciamento de Incidentes (Basico ¢ Avangado) - CERT.br‘, para os téenicos que manterdo a infraestrutura de acesso © os principais servidores da organizagao. + Hacker Etico, para os analistas de rede que comporio 0 grupo de gerenciamento de incidentes © que realizardo os testes de penetragdo na rede da empresa e de filiais, localizando ¢ fechando brechas na seguranga de perimetro, de servidores ¢ servigos, + Pericia Forense Computacional, para os analistas encarregados de localizar e interpretar vestigios de crimes digitais nos computadores © equipamentos de TI da organizagio. Politica de Seguranga da Informacio e Comunicagses (PoSIC) Segundo a ABNT NBR ISO/IEC 27002, a Politica de Seguranga da Informagio deve "prover uma orientagdo ¢ apoio da dirego para Seguranga da Informagdo de acordo com os requisitos do negécio ecomas leis eregulamentagSes relevantes" Por meio desse documento seré demonstrado 0 comprometimento da alta diregdo com a seguranga, serdo definidas as diretrizes gerais de seguranca da informago garantida & implementagio dos controles necessirios. © documento deverd definir responsabilidades gerais ¢ especificas © auxiliaré inclusive na selegio de produtos ¢ no desenvolvimento de processos ¢ de documentos. ACSI revisou e otganizou as normas existentes em um iinico documento, que foi atualizado com as recomendagdes da norma ABNT NBR ISO/IEC 27002:2005, gerando uma “Politica de Seguranga da Informagdo e Comunicagdes” e um “Termo de Uso dos Recursos de TI”, documentos que deverdo ser divulgados a toda organizagao, O “Termo de Uso” devera ser assinado por todos os usuarios antes da utilizagio do novo acesso A Internet ¢ pelos novos funciondrios quando forem admitidos na organizagio. Projeto Centralizagio de Internet (PCI) © Ievantamento inicial permitiu identificar os fatores de maior impacto na seguranga da rede, jd considerando que a centralizagdo do acesso iria causarum efeito colateral muito ruim, Ao concentrar diversas filiais em um dnico link de avesso, este ganha visibilidade e se transforma em um alvo compensador, pois as chances de um ataque direcionado obter sucesso ¢ proporcional & quantidade de maquinas-alvo, exposigao e possiveis vulnerabilidades que o alvo oferece. Preventivamente a essa hipétese, foi planejada uma configuragdo de equipamentos de maior capacidade e especializagao para a protegao desse link, implementando defesa em profundidade, conforme ilustra a figura 2, agregando a partir da boda da rede equipamentos e configuragdes que acrescentam, sucessivamente, maior protegio & rede Uma das titicas utilizadas foi a utilizagao de firewalls de diferentes fabricantes sistemas operacionais na borda e na rede interna para ificultar a agdo de hackers, pois mesmo que um “0 Cenzo de Estos, RespostaeTratamento de Incidents de Segurangan Bri (CERT) émantid plo NIC br do Comité Gest Intemetno ‘Brasil eatendea qualquer rede brasileira conectada i ntemet 2 Revista das Faculdades Sania Gr, . 9, n. 1, jancraljunio 2013,Seguranga cibernética em onganizagdes distribuidas: estudo de caso da solucdo implementada em uma instituigao pablica firewall possua alguma vulnerabilidade que seja explorada, provavelmente 0 outro equipamento nao estard sujeito ao mesmo tipo de ataque cibemético, Na organizagdo representada na figura 2, a seguir, os retngulos de tom mais claro indicam uma rea com menor controle, enquanto os de tom de mais escuro uma localidade com maior protecdo logica. O datacenter j4 ¢ uma fragdo mais protegida da organizagao, a sala de servidores um setor mais. restrito do datacenter e, finalmente, um armério “rack” que contém um segmento da rede com nivel méximo de protegdo. A interligagdo da rede externa com a interna atravessa uma sequéncia de equipamentos que realizam a anélise ¢ filtragem cada vez mais severas: quanto mais sensivel a informagao, maior sera a quantidade de equipamentos c filtros a serem atravessados. Foram incluidos os equipamentos abaixo, listados para protegdo e registro de acessos: + Firewall de borda (cluster): conjunto de firewalls em cluster, que faz @ primeira protegdo e filtragem dos acessos e tentativa deataques i rede vindas da Internet. IPS (Intrusion Prevention System): logo apés o firewall, 0 IPS verifica as conexdes € inspeciona os pacotes de rede pelo seu conteiido, 0 IPS atua no nivel de Aplicagao, considerando o modelo TCP/IP. Switch Core com médulo de firewall: possui capacidade de roteamento ¢ de filtragem de pacotes, atuando tanto como roteador como firewall, segmentando 0 conjunto de miquinas em redes distintas, de forma a isolar o trifego de segmentos ¢ filtrar por critérios definidos pelo administrador da rede 0 tréfego de um para outro segmento da rede. Proxy hierarquico: realiza 0 cache de contetido acessado na Intemet © distribui 0s proxies instalados nas filiais Proxy Reverso: faz cache das paginas internas acessadas pelos clientes extemos, acelerando as consultas e diminuindo a carga de trabalho € 0 isco de ataques aos ‘Revista das Raculdades Sania Cruz, v9, 8.1, jancirljunio 3013 servidores internos, Gestao de vulnerabilidades técnicas Infraestrutura de hospedagem do site principal © fornecimento de energia era um fator de risco, pois a sala de servidores existente na matriz, apesar de contar com gerador e UPS, no possufa alimentagao corretamente dimensionada ea energia ‘que alimentava o datacenter e 08 condicionadores de ar estava distribuida a partir de um finico quadro, que inclusive alimentava todo o andar do edificio. Foi necessério criar um quadro de energia especifico para o datacenter, alimentado com duas fases ¢ instalar cada equipamento de ar condicionado em uma das fases de energia diferentes, de forma que mesmo que acontegam quedas em uma das fases, a outra linha de energia poder suportar 50% da carga de ar-condicionado, suficiente para manter a sala refrigerada por um. periodo de cerca de2 horas, © aterramento elétrico também foi refeito, de forma a atender com seguranga os equipamentos do datacenter. ‘Segmentagdo das Redes e regras de firewall Figura: Diagrama exemplo de defesa em profundidade Fonte: dos autores Foi realizada a segmentagdo das redes, criando- se subredes para cada filial ¢ para segmentos do datacenter. No datacenter foram implementadas as redes abaixo listadas, ¢ 0 acesso de uma rede a outra somente € liberado por meio de regras nos firewalls. + DMZ: Zona Desmilitarizada, que compreende os servigos que devem ser acessados pelo piblico em geral, conexdes originadas na Internet. + MZ: segmento de rede mais protegido, com BGONGALVES, FO, AMARAL, J.B, T; BRUSAMOLIN, Vi; ZAMPIERL 1A, bases de dados ¢ arquivos de uso restrito de algumas aplicagdes ¢ usuitios. + Servidores de uso interno. + Rede de Geréncia, utilizada pelos técnicos que administram os servidores © pelos ‘equipamentos NAS" de backup primario (os , Acesso em: 28 fev. 2013. FONTES, E. L. G. Praticando a seguranga da informasao, Rio de Janeiro: Brasport, 2008, F. Harold Tipton, “Official (ISC)2 Guide to the CISSP”, 2nd Edition, Domain Access Control, 2010, pp. 2-154, FLYNN, |. M. Introdugiio aos sistemas operacionais, Cengage Leaning Editores, 2002, Linda Null, Julia Lobbur - Prineipios bisicos de arquitetura e organizagio de computadores, Rio de Janeiro: Bookman, 2010. ‘Revista das Raculdades Sania Cruz, v9, 8.1, jancirljunio 3013 nGONGALVES, FL. 0 AMARAL, J.B. BRUSAMOLIN, Vj ZAMPIERI, 1. A, ‘evista das Raculdades Santa Cruz, v.93 1, jancivljunio 2013 B