Escolar Documentos
Profissional Documentos
Cultura Documentos
Política de Segurança Da Informação PDF
Política de Segurança Da Informação PDF
do
Administrao
grau
de
Bacharel
em
do
grau
Administrao
Aprovado em ____/____/_____
Banca Examinadora:
_____________________________________________
Gilberto Corra Lucas Junior
Professor Orientador
Universidade Estcio de S
_____________________________________________
M. Sc. Clvis de Oliveira Paradela
Professor
Universidade Estcio de S
_____________________________________________
M. Sc. Attila de Mattos Ferreira Junior
Professor
Universidade Estcio de S
de
Bacharel
em
AGRADECIMENTOS
SUMRIO
RESUMO
INTRODUO
1. POLTICA DE SEGURANA DA INFORMAO ?
2. DIRETRIZES
3. OS RESULTADOS
4. CLASSIFICAO DA INFORMAO
11
13
4.2. RESPONSABILIDADES
14
4.3. IMPLEMENTAO
16
5. SEGURANA FSICA
5.1. ANLISE DE RISCOS
6. SEGURANA LGICA
6.1. SENHAS
7. PLANO DE CONTINGNCIA
7.1. EQUIPES DE CONTINGNCIA
8. VRUS
8.1. COMO ATUAM
18
23
26
28
31
40
52
53
9. BACKUP
56
58
61
CONCLUSO
64
BIBLIOGRAFIA
69
RESUMO
INTRODUO
Poltica de Segurana da Informao um conceito de idias definidas e estudadas,
transcritas para o papel a fim de efetuar a conscientizao dos funcionrios da organizao, ou
melhor, de todos os usurios da informao, para que esta no seja exposta indevidamente por
falta de conhecimento e evitando fraudes.
Nossa atual realidade presa informao como sendo o bem de maior valia para as
organizaes independentemente do ramo de atuao desta, sendo ela comrcio, indstria ou
financeira, a informao nos abre novos horizontes e mercados para que possamos expandir
nossos anseios em busca de maiores lucros e perspectivas. As respostas a essas questes so
fundamentais ao bom funcionamento das organizaes, independente do seu ramo de
atividade e a falta dessas respostas nos momentos adequados, ou a obteno de respostas
incorretas, certamente influenciar negativamente o desenvolvimento dos negcios e poder
gerar prejuzos financeiros ou de imagem.
A globalizao que transforma a informao recente em ultrapassada apresenta
sociedade um novo momento em que os profissionais devem buscar se atualizar para no
serem ultrapassados no mercado e ao mesmo tempo desenvolver procedimento de segurana
para as informaes vitais, em que as organizaes se transformaram. Visto que atualmente
no existe mais a empresa que valoriza seu imobilizado e toda a sua estrutura fsica e sim a
organizao que valoriza a informao de que constituda toda a sua riqueza, lucro e
potencialidade de desenvolvimento futuro e atual. Alguns conceitos relacionados a segurana
da informao devem ser estabelecidos, tais como a importncia da informao.
As organizaes contemporneas so entidades dinmicas, interligadas ao meio em que
atuam por uma rede de relaes, sejam com clientes, fornecedores ou outros segmentos da
prpria organizao. O rpido desenvolvimento de vrias tecnologias modernas tem feito
com que essas relaes na atualidade, tenham uma abrangncia muito ampla, podendo atingir
todo o planeta.
essencialmente de informaes.
Aos administradores dessas novas organizaes, integradas aos mercados em que atuam,
so apresentadas com freqncia, questes semelhantes as que aparecem abaixo:
primeiro lugar devesse considerar que criar, encontrar ou armazenar informaes custa
dinheiro, portanto a sua perda resulta em prejuzo. Por outro lado, a informao importante
para a organizao e seus negcios, assim como tambm importante para os seus
concorrentes, o que a torna alvo preferido para sabotadores, espies industriais e vrios tipos
de golpistas e ou hackers.
Considerando que, cada vez mais, a realizao de transaes econmicas depende da
informao, fica claro que a sua indisponibilidade acarreta prejuzo financeiro e faz dela,
talvez, o bem mais valioso da organizao e, por isso mesmo, precisa ser preservado,
garantido e bem gerenciado.
Atentando para que, um ambiente sem padro, organizao ou controle de suas
informaes e, principalmente com usurios no comprometidos com o sigilo e a segurana,
altamente propcio perda de informaes e fraudes. Mesmo que no sejam anunciadas em
jornais, fraudes acontecem a do prejuzos! Quando eventualmente vm a pblico,
desacreditam a organizao vitimada perante seus clientes e parceiros comerciais.
Desta forma, apresenta-se este estudo sobre Poltica de Segurana da Informao, que
tem como objetivo identificar padres de segurana existentes no mercado e seguidas pelas
organizaes de acordo com a sua atuao no mercado e seu porte, atentando para medidas de
proteo no acesso s informaes.
1
2
Tecnologia da Informao
Return on investiment (Retorno sobre investimento)
A Poltica de Segurana deve ser vista, como um ponto de forte importncia e impacto,
como podemos observar:
No se deve encarar uma poltica de segurana como mais um modismo
passageiro que freqentemente aparece em todas as reas de atividades. Antes
de mais nada, poltica de segurana um conjunto de diretrizes gerais
destinadas a governar a proteo a ser dada a ativos de informao.
(Caruso, Steffen, 1991, pg 15)
2. DIRETRIZES
A Poltica de Segurana da Informao possui diretriz, a fim de determinar a estrutura da
segurana da informao e a orientao necessria ao desenvolvimento do trabalho. Essas
sistemticas visam determinar o nvel de segurana de uma rede, sua funcionalidade e a
facilidade de uso, sendo reunidas em um documento formal com regras pelas quais as pessoas
devero aderir para ter acesso informao e tecnologia da informao.
Tornando-se
necessrio conhecer os objetivos, para depois poder medi-los, as polticas variam de organizao
para organizao.
Como podemos observar abaixo, as diretrizes tendem a ser claras, de forma a orientar a sua
aplicabilidade de maneira simples e compreensvel.
A Poltica de Segurana da Informao composta por diretrizes e
orientaes gerais que evitam, tanto quanto possvel, referir-se a detalhes e
mincias, especialmente aquelas relacionadas tecnologia ou s ferramentas
utilizadas na sua implementao.
As diretrizes, to claras quanto possveis, permitem que todos os integrantes
da organizao sejam capazes de compreend-las e aplica-las corretamente.
(Loss Control, 2001)
3. OS RESULTADOS
Os resultados so visualizados mediante o correto cumprimento das normas estabelecidas
pela poltica de Segurana da Informao, como podemos observar abaixo:
A existncia e o correto cumprimento da Poltica de Segurana da
Informao permite s organizaes um significativo ganho de produtividade
devido padronizao das atividades e a reduo do retrabalho e dos
prejuzos financeiros decorrentes da perda de informaes. (Loss Control,
2001).
Perdas
privacidade,
dados,
sabotagem,
uso
indevido
de
servios
A segurana
10
4. CLASSIFICAO DA INFORMAO
A informao pode ser classificada conforme o grau que ela representa para a empresa,
relacionando a nossa realidade seu grau de sigilo e teor crtico, que se reverter em valor, pois de
acordo com a forma, como a informao manipulada pelos sistemas as informaes podem ficar
mais sensveis e o seu grau de proteo conseqentemente aumentar.
Nos dias atuais a informao vista como o principal ativo da organizao, devendo ser
tratada de modo adequado e para isso deve-se classific-la de acordo com o seu grau de sigilo e
seu teor crtico. (Loss Control, 2001).
A informao possui valor intrnseco, podendo ser avaliada em funo de sua importncia
e/ou utilidade e/ou valor financeiro, permitindo-nos classific-la de acordo com critrios de
proteo, tais como: destruio e revelao. A poltica de classificao e informaes est
subordinada a poltica de segurana da organizao, baseando no valor das informaes que esto
sendo protegidas e no custo da proteo. Analisando-se o valor que esta informao representa
para a companhia e o custo dela. De forma que se este for proibitivo ou ultrapasse o valor desta
informao para a organizao, deve-se analisar se esta informao deve permanecer sendo
considerada como sigilosa ou sua importncia para a continuidade do negcio, sendo conveniente
fazer uma anlise de todo o processo de manuseio do fluxo desta informao. Sendo a poltica de
classificao de informaes importante, principalmente pela vulnerabilidade tcnica, diversidade
humana e as influncias externas e/ou internas. (Caruso, Steffen, 1991, pg 29 e 31)
Devendo-se informar aos usurios, funcionrios e gerentes das exigncias obrigatrias para
proteger seu patrimnio tecnolgico e de informaes, especificando os mecanismos atravs dos
quais essas exigncias podem ser cumpridas, tais como:
-
11
Pessoal de informtica;
Gerncia responsvel;
Auditoria.
12
13
4.2. RESPONSABILIDADES
Existem fatores para os quais devem ser atentados, pois o sucesso de uma Poltica de
Segurana depende de:
-
Poltica de autenticao;
Informaes de suporte;
14
Responsabilidade;
Regras gerais;
Regras especficas;
Regras especiais.
Observando e analisando o cumprimento das regras, utilizando bom senso para situaes
novas que no tenham sido cogitadas na poltica, solicitando sua devida justificativa. (Caruso,
Steffen, 1991, pg 32, 33 e 34)
As pessoas devem estar envolvidas com a proteo das informaes, atravs de
conscientizao e divulgao para os colaboradores das responsabilidades do seu relacionamento
com a informao classificada.
A informao pode ser manuseada por trs categorias distintas, tais como:
-
O gestor;
O custodiante e
O usurio.
De modo geral, necessrio ter conhecimento se a invaso em curso na rede est sendo
utilizada para invadir outras redes, caso isso seja confirmado, se torna importante avisar aos
administradores das redes envolvidas de forma a demonstrar uma poltica de cooperao mtua
em busca da origem da invaso.
15
4.3. IMPLEMENTAO
Existem dois extremos basicamente, no que se refere ao modelo de segurana, que se pode
adotar.
O modelo de negao total, em que a premissa bsica : O que no permitido
proibido, aquele em que a princpio todos os servios possveis so negados e que todas as
restries possveis so aplicadas. proporo, que houver necessidade de liberao de servio
e concesso de permisso, vai-se concedendo. o modelo que apresenta maior eficincia em
termos de segurana, porm maior grau de dificuldade de implementao, j que todas as brechas
possveis de segurana tm que ser identificadas e fechadas.
O modelo de permisso total exatamente o oposto.
Apresentando um mnimo de
So recursos utilizados para a alocao de informaes, tais como: disquete, cd, fitas, etc.
16
17
5. SEGURANA FSICA
O Controle de acesso fsico visa impedir que pessoas estranhas ao ambiente tenham acesso
as dependncias, protegendo os equipamentos que tratam ou armazenam as informaes, atravs
da implementao de acessos restritos a esses ambientes, buscando a preveno de possveis
perdas, roubos ou vazamentos de informaes.
objetivos: garantir a continuidade das rotinas; assegurar a integridade dos ativos; manter a
integridade e confidencialidade das informaes.(Fontes, 1991, pg 21).
Um ponto normalmente negligenciado por quem pensa em segurana o acesso fsico a
terminais e outros dispositivos da rede. Manter cpias de backup5 seguras contra roubo, alm dos
cuidados normais para manter a integridade do backup, assim como, notebooks e outros terminais
portteis tambm representam riscos em caso de roubo ou acesso no autorizado. Deve-se ter
cuidado em relao aos dados armazenados nos discos rgidos e memrias desses terminais,
outros lugares a serem protegidos so os armrios de distribuio de cabos, servidores, roteadores
e servidores de nomes.
Assim como, o acesso pblico projetado para oferecer comodidade aos usurios, que
desejam se conectar com a rede distncia, quer seja por um terminal estabelecido pela empresa
ou um ponto de rede para conexo de equipamentos portteis. Este tipo de acesso permite o uso
de IPs6 falsos, rastreamento de pacotes, etc. Caso seja necessrio oferecer este tipo de servio ao
pblico, torna-se interessante execut-lo separadamente da rede interna da empresa, assim como
se deve vigiar escritrios vazios e desconect-lo fisicamente do quadro de distribuio de cabos,
monitorando toda tentativa de conexo no autorizada.
A preveno na segurana de acesso evita problemas de integridade ou at mesmo
confidencialidade violada. Um dos pontos fundamentais da segurana fsica o controle de
acesso. Ele est baseado no fato de que nem todas as pessoas devem ou precisam ter acesso a
todas as reas da organizao.(Loss Control, 2001).
Backup: rotina de salvar dados para um ou outro local/mdia, com o objetivo de recuperao em caso de danos aos
dados no local original.
6
Internet Protocol. Juntamente com o TCP, o protocolo em que se baseia o funcionamento da Internet.
18
O controle de acesso fsico pode ser implantado de diversas formas, tais como:
-
Sistemas com portas duplas: Sistema utilizado para identificao de pessoas, que
desejem ter acesso ao ambiente. Este tipo de sistema conveniente para prevenir
a entrada de intrusos, em reas restritas;
19
Esta lista tem como finalidade apresentar os principais itens a serem avaliados num trabalho
de diagnstico, para que os responsveis pelas decises da organizao, aps o check-list7 tenham
condies para escolher sobre onde e quanto investir na segurana fsica, com uma viso mais
clara de suas vulnerabilidades:
Itens a pontos a serem avaliados:
-
Exposio ao fogo;
Existncia de janelas;
Consiste em uma srie de itens a serem verificados antes, durante ou aps um determinado procedimento/operao.
20
Condies do subsolo;
Climatizao:
-
Exclusividade do sistema;
Redundncias (e reservas);
Eletricidade:
-
Equipamento ligado rede eltrica para em caso de queda ou interrupo do fornecimento de energia, manter o
funcionamento, por um tempo pr-determinado, de computadores e outros recursos (equipamento de rede, etc.). Um
no-break constitudo por baterias eletroqumicas (acumuladores) e um circuito conversor de corrente contnua em
corrente alternada.
21
Riscos de vizinhana.
Pessoal:
-
Meios de arquivo:
-
22
localizao, segurana com contra fogo, ar condicionado, energia eltrica, energia alternativa,
controle de acesso, sensoriamentos e monitorao instalao da fitoteca de segurana, transporte
das mdias para a fitoteca de segurana, concluso a respeito do resultado dos levantamentos e as
tendncias registradas nos CPD9s europeus norte-americanos.
(Caruso, Steffen, 1991, pg 114 a 118)
23
Irregularidades,
ou
impropriedades,
nos
pisos
elevados
ou
rebaixados;
-
Falta de pra-raios;
24
participao
dos
funcionrios
(Mdulo
Security
Solutions,
2000,
www.modulo.com.br). Enquanto:
Aproximadamente 47% dos executivos dos executivos entrevistados
afirmam que o principal obstculo na implementao da poltica de segurana
a falta de conscincia dos funcionrios, que muitas vezes apresentam resistncia
em adotas tais prticas.
(Mdulo Security Solutions, 2000, www.modulo.com.br)
Os funcionrios continuam sendo os principais responsveis pelos
problemas de segurana computados. Porm, o resultado deste ano (33%) est
dois pontos percentuais abaixo do apontado no ano anterior (35%).
(Mdulo Security Solutions, 2000, www.modulo.com.br)
Aps a anlise de riscos fsicos, pelos profissionais responsveis pelos levantamentos das
informaes inerentes a segurana fsica, adquire-se o conhecimento sobre os recursos a serem
disponibilizados como: equipamentos de monitorao, energia, climatizao, ambientes de
segurana para os equipamentos crticos, poltica de segurana de acesso fsico s informaes e
ambientes distintos da organizao, dentre os diversos componentes e processos que devem ser
envolvidos num projeto de segurana fsica. Sendo a implementao deste um complemento de
projeto maior de continuidade de negcios. Aps realizar os investimentos e implementar o
plano, a empresa dever estar constantemente revendo o plano e modificando o que for
necessrio,
que
demonstra
ser
um
plano
contnuo
360.(Barbosa,
2001,
www.modulo.com.br)
25
6. SEGURANA LGICA
A segurana lgica tem por finalidade proteger as informaes, essa proteo tem como
meta impedir a alterao, divulgao ou destruio, intencional ou no, atentando para os
cuidados que devem ser tomados na criao e utilizao de senhas. Seu uso deve ser concedido
apenas as pessoas que necessitem dela, para o desempenho de suas atividades.
O relatrio da Comisso Especial 21 de Proteo de Dados, da SEI, assim
define: Segurana lgica consiste de um conjunto de mtodos e procedimentos
automatizados destinados a proteger os recursos computacionais contra a sua
utilizao indevida ou desautorizada, intencional ou no. Compreende o
controle de consultas, alteraes, inseres e excluses de dados e o controle
do uso de programas e outros recursos.
(Fontes, 1991, pg 25).
26
Quanto maior for a utilizao do processamento eletrnico de dados, maior ser o aumento
de sua vulnerabilidade, sendo desta forma necessrio a utilizao de meios de segurana mais
eficientes para a proteo dos dados manuseados.
segurana lgica dos dados deve ser avaliada pelo aspecto custo/benefcio... (Fontes, 1991, pg
25), pois a reduo dos riscos s informaes aumenta em contra partida a confiabilidade dos
dados, assim como, aumenta a sobrecarga dos computadores, alongando os tempos de resposta e
os custos.
Segundo Donn Parker, a segurana de um sistema de proteo mede-se por
seu ponto mais fraco, que no caso e o elemento humano. O computador um
a mquina programvel, que executa as instrues recebidas: se for programada
para errar e roubar, ele errar e roubar. Os programas, chamados software, so
desenvolvidos por pessoas comuns, sujeitas s mesmas falhas que ns. Se a
empresa no contar com pessoal de confiana e capaz, todas as demais medidas
de segurana sero inteis.
(Fontes, 1991, pg 26).
27
6.1. SENHAS
Representa o controle de acesso mais antigo, utilizado pelo homem visando impedir o
acesso de pessoas no autorizadas. Elas foram e so utilizadas para controlar os acessos de
recursos, entretanto este meio de segurana apresenta riscos de revelao.
Os mtodos de
ferramenta de maior importncia capaz de garantir 90% de segurana de seus sistemas. Pode-se
classific-la como de boa qualidade ou facilmente decifrvel, sendo:
Boas Senhas
-
Fceis de lembrar;
10
Seqncia de operaes para acesso a um sistema em que o usurio conecta-se, identificando-se com um user e
uma senha prpria.
28
Senhas Ruins
-
Nomes prprios;
29
Esta forma de identificao exige sigilo absoluto, uma vez que permite que o usurio seja
identificado. Devendo atentar para a sua efetividade e a periodicidade obrigatria para a sua
troca, assim como a obrigatoriedade de sua definio pelo prprio usurio. (Loss Control, 2001).
30
7. PLANO DE CONTINGNCIA
O Plano de Contingncia visa a continuidade das atividades necessrias organizao, para
a continuidade dos negcios permitindo superar com xito qualquer situao adversa. Estando
toda e qualquer instalao sujeita a hiptese de desastres de diversas naturezas, sendo estas
ameaas de origem natural ou acidental. A ocorrncia de um desastre pode proporcionar a
paralisao total ou parcial dos ambientes tecnolgicos, ocasionando perda de informao e
vulnerabilidade, assim como perda financeira para a empresa sinistrada. Desta forma, se faz
necessria elaborao de um plano que garanta a continuidade, segurana do tratamento e a
disponibilidade das informaes em caso de sinistro.
Os planos de recuperao mais freqentes, alm de se preocuparem com a
continuidade do negcio de produo e vendas, so muito focados para
enfrentarem desastres que podem atingir seus sistemas em computador. Com o
advento da Internet e os crescentes ataques de hackers e invasores, a
preocupao aumentou...
Uma pesquisa nos Estados Unidos com 1500 empresas, publicada no
jornal USA Today, demonstra os tipos de planos de recuperao mais focados
pelas empresas americanas:
- Plano de recuperao de sistemas em computados 61%
- Linhas de comunicao (telefonia, redes e satlites) 13%.
- Recuperao de negcios 12%
- Apenas procedimentos de evacuao de funcionrios 9%
- Outros 5
(Caruso, 2001, www.modulo.com.br)
Recuperar-se do incidente;
31
11
32
33
Configurao;
Verso/Release13;
Nvel de atualizaes;
Customizaes;
Fornecedores.
- Hardware14:
-
Configurao;
Up-Grade15;
12
Qualquer programa que nos possibilite tirar proveito dos recursos do computador
Em geral o release uma verso dentro da verso. Na prtica, o nmero da verso e do realease formam um
nmero decimal adotados para identificar a atualizao de um software. Exemplo: Netscape 4.1. Nesse caso temos o
release 1 da verso 4 do software (browse) navegador da Internet.
14
toda a parte fsica do computador, material. Exemplo: monitor, teclado, mouse e o prprio computador.
15
A expresso tanto pode se referir a uma verso de um hardware ou software, quanto ao ato de moderniza-lo.
Fazer Up-grade no comprar um novo programa ou novo computador, mas sim modernizar aquele que temos em
mos.
13
34
MIPS16 utilizado;
Memria;
CPU17;
Controladora de Discos;
Mdias Magnticas;
Fornecedores.
- Ambincia:
16
17
Temperatura;
Umidade;
No-Break;
Gerador de energia;
Bateria de energia;
35
- Identificao dos servios crticos dentro dos sistemas prioritrios programas e tabelas;
- O que deve ser retido no perodo de contingncia para recuperao
dos sistemas no crticos;
18
36
Um conjunto de 8 (oito) bits. Um byte uma unidade que determina uma informao, que pode ser um caractere
ou um cdigo para um desenho na tela. Exemplo: 00010111
20
Elemento de uma pgina html que leva a uma nova localizao na mesma pgina ou em outra pgina inteiramente
diferente.
21
Cold site - instalao que oferece infra-estrutura bsica (local adequado, cabeamento eltrico, dispositivos de
resfriamento de gua, ar condicionado, piso falso etc.) No caso de um desastre, o cliente s precisa deslocar seus
equipamentos para o local preparado. Em comparao com o hot site, esta alternativa mais barata, porm pode
levar um tempo maior para ser ativada com todos os equipamentos necessrios, uma vez que o cliente precisa
deslocar seus equipamentos para este local.
37
- Hot-Site de terceiros;
- Hot-Site prprio compartilhado.
- Forma de atualizao dos dados no Site Backup.
Decises Ps-Desastre para a Recuperao:
- Evitar novos danos, executando os procedimentos de emergncia;
- Identificar os hardwares e os materiais que podem ser salvos;
- Auxiliar a equipe de logstica na movimentao de recursos salvos;
- Informar as equipes de telecomunicao e de hardware do
andamento dos trabalhos de salvamento;
- Avaliao do desastre no aspecto de estrutura fsica;
- Laudo e estimativa de recuperao da estrutura fsica;
- Avaliao do desastre no aspecto de parque computacional;
- Laudo e estimativa de substituio do parque computacional;
- Deciso quanto localidade e formas de processamento psdesastre dos sistemas crtico;
- Deciso quanto localizao e forma de processamento psdesastre dos demais sistemas.
Plano de Retorno:
- Definio de datas e procedimentos para retorno s atividades
normais;
- Retorno do CPD e estrutura bsica;
22
Hot site - instalao (empresa) que oferece servios de restaurao de sistemas de informtica. Oferecem salas
equipadas, compatveis com os recursos computacionais do cliente, para operar em substituio instalao original.
Provem ainda suporte tcnico e servios de telecomunicao.
38
39
aprovar
gastos
financeiros
necessrios
ao
40
as
pessoas-chave
para
recuperao
do
ambiente
operacional;
Acionar as providncias para recuperao do ambiente operacional;
Emitir relatrio situacional aos Executivos da Empresa;
Realizar reunies peridicas com os coordenadores das demais
equipes de forma a manter integrado o grupo de recuperao de
desastres e manter atualizado o Plano.
41
Tarefas Ps-Desastre
Coordenar as atividades de retorno normalidade.
2) Equipe de Salvamento e Rescaldo
Misso:
Combater o sinistro;
Prestar os primeiros socorros;
Salvar o que puder ser salvo;
Avaliar a extenso dos danos s instalaes, equipamentos e
recursos humanos;
Prover a EQUIPE EXECUTIVA de informaes.
Tarefas Pr-Desastre
Manter documentao, fora da instalao, de plantas, desenhos e
especificaes da mesma. (hidrulicas, eltricas, ar, etc.);
Manter relao de todos os hardwares existentes na instalao.
Tarefas Durante o Desastre
Executar os procedimentos de emergncia (evacuao dos
ambientes, desligamento de equipamentos e quadros, etc.);
Combate do sinistro e prestao dos primeiros socorros s vitimas
encaminhando-as ao atendimento especializado;
Estabelecer a segurana na instalao que sofreu o desastre;
Emitir RELATRIO DE OCORRNCIAS completo a EQUIPE
EXECUTIVA;
Efetuar a limpeza do ambiente e descartar o entulho;
Identificar hardware e materiais a serem salvos;
42
informadas
as
equipes
de
COMUNICAES
procedimentos
para
prover
recursos
necessrios
44
46
47
Tarefas Ps-Desastre
Restaurar os servios de telefonia;
Restabelecer a comunicao de dados.
6) Equipe de Planejamento / Produo
Misso:
Assegurar que os processamentos dos sistemas crticos possam ser
retomados to logo os dados, os equipamentos e as comunicaes
necessrias estejam disponveis.
Tarefas Pr-Desastre
Desenvolver as rotinas destinadas aos servios crticos;
Garantir que os backups armazenados fora da instalao estejam
seguros e possam ser facilmente recuperados pelas pessoas
autorizadas;
Definir e manter os procedimentos de recuperao das aplicaes e
dos dados crticos;
Prover todo o material de backup, inclusive documentao,
conforme definido no procedimento de recuperao cada aplicao;
Analisar e definir alternativas para o processamento das funes
criticas;
Manter atualizadas e em lugar seguro copias da documentao dos
sistemas aplicativos;
Prever e desenvolver rotinas para atender a todas as condies de
retorno normalidade.
48
50
Tarefas Ps-Desastre
Acompanhar a volta normalidade
Garantir que no sejam deixados no site-backup, aps o retorno
normalidade,
nenhuns
resduos
de
informaes
dados
51
8. VRUS
Em nosso dia a dia, usamos o computador como uma ferramenta indispensvel e estamos
sujeitos ao ataque dos vrus, entendo que estes so programas que se encaixa nos arquivos da
mquina alvo. Durante a anexao, o cdigo original do vrus anexado nos arquivos da vtima.
Esse procedimento denominado infeco, aps a infeco, este se converte em um arquivo
comum portador, da em diante o arquivo infectado tem a possibilidade de infectar os demais
arquivos sadios. Processo esse denominado replicao, atravs da replicao o vrus pode
alastrar-se por todo o disco rgido, podendo ocasionar problemas de software e de hardware.
(www.modulo.com.br)
Um vrus biolgico costuma introduzir-se num organismo, apossando-se das
clulas e obrigando-as a reproduzir milhares de cpias do vrus original.
O vrus do computador, imitando o da natureza, atua de maneira semelhante:
trata-se de um pequeno programa (conjunto de instrues) cujo objetivo, alm
de instalar-se, reproduzir-se e dominar o organismo que o aloja.
(Caruso, Steffen, 1991, pg 92)
(www.anti-hackers.com.br)
52
Arquivos apagados;
Documentos no salvos;
Mensagens inofensivas;
Dentre outros.
24
BOOT o processo bsico que o microcomputador realiza para carregar qualquer tipo de sistema operacional,
geralmente.
53
54
criptografia do cdigo principal do vrus com uma chave no constante, constituda de conjuntos
aleatrios de comandos de descriptografia ou pela modificao do cdigo executvel do vrus.
Existindo outros exemplos poucos exticos de polimorfismo, por exemplo: o vrus de DOS
Bomber no criptogrado, mas a seqncia de instrues que passa o controle para o corpo do
vrus totalmente polimrfica. (AVP, 2000, www.modulo.com.br)
Atualmente no mercado, se encontram disponveis dois tipos de programas antivrus, os que
possibilitam a deteco de vrus j instalados em um sistema e os que evitam a instalao dos
vrus, independente de serem ou no conhecidos. Os softwares que identificam a existncia de
vrus acusam sua presena desde que faa parte de uma lista pr-existente de assinaturas de vrus.
Enquanto os que procuram evitar a instalao do vrus, o fazem verificando a ocorrncia de
comportamentos tpicos de vrus de computador, esses antivrus no aceitam mudanas em
arquivos de programas, solicitam ao usurio autorizao quando um software tenta ficar residente
na memria, assim como no permite a execuo de um programa que no esteja numa lista de
aplicaes previamente testada e aprovada. Devido a isso, aconselhvel a utilizao de um
antivrus reconhecido pela sua eficincia e eficcia. (Loss Control, 2001).
Conforme informaes da 6 Pesquisa Nacional sobre a Segurana da Informao:
Os vrus (75%) permanecem como a maior ameaa segurana da
informao nas empresas. Apesar de 93% das corporaes afirmarem j
adotar sistemas de preveno contra vrus, 48% sofreram contaminao nos
ltimos seis meses e apenas 11% das empresas entrevistadas declaram nunca
ter sido infectadas.
(Modulo Security Solutions, 2000, www.modulo.com.br)
55
9. BACKUP
Backup um termo ingls utilizado para gerar cpia da informao gerada, por motivo de
segurana. Tendo como objetivo preservar as informaes contra danos causados por acidentes
ou no, informaes estas que podem significar horas ou meses de trabalho. A falta de cpias de
segurana pode ocasionar prejuzos com a recuperao das informaes danificadas ou perdidas,
assim como acarretar a paralisao das operaes da organizao.
A finalidade do Backup permitir a pronta recuperao de dados em caso de
perdas acidentais ou intencionais e, desse modo, necessrio que toda
informao fundamental ao funcionamento da organizao tenha a sua cpia
de segurana, guardada em local adequadamente protegido.
(Loss Control, 2001).
56
25
Pessoas que se esforam para quebrar a segurana de um sistema pelo simples prazer de conseguir, quando comea
a fazer pr maldade, para roubar ou enganar, este deixa de ser um cracker e passa a ser um hacker.
57
58
59
60
Levantamentos iniciais;
Relatrios de auditoria;
Concluso do trabalho.
(IBRACON, 1999, pg 93 a 101).
61
Segurana fsica;
Segurana lgica;
Confidencialidade;
Segurana ambiental;
Eficincia;
A auditoria coleta dados que devem incluir qualquer tentativa de acessar um nvel de
segurana diferente por qualquer pessoa, processo ou outra entidade da rede. Isso inclui login,
logout, acesso de super usurio ou administrador, ou qualquer mudana de nvel de permisso.
de especial importncia observar acessos anonymous ou guest a servidores pblicos.
H trs meios bsicos de armazenagem de dados de auditoria:
- O primeiro em arquivos comuns em disquetes ou discos rgidos em servidores;
- O segundo em mdia apenas de leitura e
- O terceiro em papel impresso.
Obviamente, o meio mais inseguro em mdia magntica, j que o invasor pode apagar seu
rastro durante uma invaso. Por outro lado o meio mais barato e permite anlise de dados por
programas de auditoria. Desta ltima vantagem tambm goza a mdia apenas de leitura. O
problema est no custo da mdia e do espao necessrio para sua armazenagem. Assim tambm
o caso do papel impresso, porm para todos os meios imperativo manter segura conexo entre o
dispositivo que propriamente realiza o registro dos dados e o que os armazena.
Para que os dados coletados sejam de utilidade em caso de demandas judiciais,
aconselhvel procurar orientao legal para saber que dados coletar. Se esses dados no forem
definidos adequadamente antes de um incidente, isso pode resultar em falta de recursos para
defesa em caso de um incidente.
62
Toda empresa que mantm dados de auditoria deve estar consciente de que muitos desses
dados podem conter informaes pessoais cuja visualizao, mesmo em caso de uma pesquisa de
rotina pelo sistema de segurana, pode representar um caso de invaso de privacidade.
63
CONCLUSO
Como dito anteriormente Poltica de Segurana da Informao, um conjunto de normas
que tem como finalidade informar aos usurios da informao a maneira adequada de utiliz-la e
proteg-la, afim de que sejam evitadas fraudes e possveis invases, gerenciando, protegendo e
distribuindo suas informaes e recursos.
A Poltica de Segurana apresentada-se sob os seguintes aspectos:
-
Ao contrrio, do que
64
26
Chief Information Officer diretor de tecnologia e informao. o responsvel pela implantao e gerenciamento
de sistemas, muitas vezes o CIO tambm cuida do site de comrcio eletrnico da empresa.
65
66
horas com a consultoria, pois muitas organizaes desconhecem sua real necessidade,
posteriormente conhecer a capacidade dos profissionais que esto sendo contratados para efetuar
o servio, analisando experincias passadas e verificando o quanto estes entendem do negcio da
empresa contratante, sendo interessante analisar experincias passadas, pois o custo se torna
maior, uma vez que se utiliza profissionais da prpria organizao, que no esto atualizados com
o resultado buscado pela empresa, que demandaria demora nas pesquisas e nos resultados, devido
a isto a consultoria se torna mais rentvel, mesmo porque o consultor vive esta realidade e possui
experincias anteriores de diversas organizaes, o que implica em um resultado mais enxuto e
eficaz. Deve-se acompanhar todos os passos da consultoria, negando o controle do projeto ao
consultor, o que pode ser o primeiro passo para o fracasso. Deve-se definir e tornar as todas as
regras bem claras antes de assinar qualquer contrato de prestao de servios, definindo as
medidas de retorno sobre o investimento at o perfil do consultor que executar o projeto.
Assim como, os servios de terceirizao, se a empresa no tem experincia com
terceirizao, essencial criar projetos pilotos para aprender a medir resultados. Nos contratos
de terceirizao, de grande valia se precaver para garantir que, no caso de insatisfao, uma
desistncia seja indolor e barata, pois um nvel elevado de pessoal terceirizado, pode fazer a
empresa perder funcionrios estratgicos, o que nos leva a ponderar se vale pena prosseguir.
67
Ao contrrio de
depreciar os equipamentos no balano de modo enganoso, ou seja, considerar sem valor o que
ainda est funcionando ou dar valor quilo que j sucata, devendo-se considerar equipamentos e
programas apenas como despesas.
Pesquisando preos e tipos de servios, testando todas as tecnologias possveis, esse o
nico jeito de descobrir qual o servio ideal para a empresa. Caso, o negcio dependa de
agilidade da informao, no hesite: alugue uma rede de dados e um link para Internet.
Ao
contrrio, de pagar interurbanos para filiais e escritrios da empresa, pois sai mais barato ter uma
rede de voz, e exagerar na capacidade de transmisso da rede pode ocasionar custo, pois rede
ociosa sinnimo de prejuzo.
68
BIBLIOGRAFIA
ALVIM, Paulo. Enterprise Information Portals: integrando Aplicaes na Web.
Developers. Ano 5 - n 56. Abril/2001.
COZER, Alberto. Existem Solues Viveis para um Mundo Pequeno. Developers. Ano 5 n 56. Abril/2001.
ERNSBERGER, Richard. EMERSON, Tony. The Shadowy World of SOFTWARE PIRACY.
Newsweek. April 9, 2001.
GUROVITZ, Helio. Falta de medida. Exame. 18 de abril de 2001.
JAMIL, George Leal. Auditor de Segurana/Sistemas: Xerife em Cena. Developers. Ano 5
- n 56. Abril/2001.
LOSS CONTROL Consultoria e Assessoria Ltda Autotreinamento em Segurana da
Informao em CD-ROM da LOSS CONTROL
MEIRELES, Andrei. PEDROSA, Mino. O painel do senado confirma S FALTA CASSAR.
ISTO . 25 de Abril/2001 n 1647.
MOLINARI, Leonardo. Security & Network Testing: a Fronteira Final de uma Rede.
Developers. Ano 5 - n 56. Abril/2001.
SANTOS, Manoel Antnio dos. Combate ao software pirata chega ao usurio domstico.
PC WORLD. Abril 2001. n 106.
TEIXEIRA JR, Srgio. D para se defender do desperdcio? Negcios Exame. Ano 2 N 9
Edio 12.
VERGARA, Sylvia Constant. Relatrio de Projetos de Pesquisa em Administrao. So Paulo:
Atlas, 1999.
WANGENHEIM, Aldo Von. KRECHEL, Dirk. JR BARROS, Euclides. BIASI, Herculano de.
RIBEIRO, Leonardo Andrade. Integrando Servios de Radiologia Atravs de um Portal
de BDs. Developers. Ano 5 - n 56. Abril/2001.
BRASIL, Decreto-Lei n 3.505, de 13 de junho de 2000.
Institui a Poltica de Segurana da Informao nos rgos e entidades da administrao
Pblica Federal. Dirio Oficial [da Repblica Federativa do Brasil], 14 jun. 2000.
69
WWW.ABES.ORG.BR
WWW.DEVELOPERS.COM.BR
WWW.SUNSOFTWARE.COM.BR
WWW.MODULO.COM.BR
70