P. 1
298_Redes

298_Redes

|Views: 2.750|Likes:
Publicado porpreparasuporte

More info:

Published by: preparasuporte on Apr 01, 2011
Direitos Autorais:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

02/05/2013

pdf

text

original

Sections

  • 1. INTRODUÇÃO
  • 2. OBJETIVOS
  • 2.1. OBJETIVO GERAL
  • 2.2. OBJETIVOS ESPECÍFICOS:
  • 3. FUNDAMENTAÇÃO TEÓRICA
  • 3.1. SEGURANÇA DA INFORMAÇÃO
  • 3.2. PROJETO DE SEGURANÇA
  • 3.3. PLANO DE SEGURANÇA
  • 3.4. NORMA DE SEGURANÇA
  • 3.5. PROCEDIMENTOS DE SEGURANÇA
  • 3.6. ARQUITETURA DE SEGURANÇA
  • 3.7. MODELO DE SEGURANÇA
  • Figura 1 – Requisitos do Modelo de Segurança
  • 3.8. HISTÓRICO DAS NORMAS DE PADRONIZAÇÃO DE SEGURANÇA
  • 3.9. POLÍTICA DE SEGURANÇA
  • Figura 2 – Processo de uma Política de Segurança
  • 3.9.1. Visão Geral de uma Política de Segurança
  • 3.9.2. Identificação dos Recursos
  • 3.9.3. Considerações Importantes
  • 3.9.4. Premissas Básicas
  • 3.9.5. Conteúdo Essencial
  • 3.9.6. Principais Atores
  • 3.9.7. Flexibilidade
  • 3.9.8. Classificação das Informações
  • 3.9.9. Análise de Riscos
  • 3.9.9.1. Riscos Externos
  • 3.9.2.2. Riscos Internos
  • 3.9.10. Análise de Ameaças
  • 3.9.11. Auditoria
  • Figura 3 - Metodologia CobiT
  • 3.9.12. Plano de Contingência
  • 3.10. FERRAMENTAS DE SEGURANÇA
  • 3.10.1. Criptografia
  • 3.10.1.1. Algoritmos Criptográficos
  • 3.10.1.2. Criptografia Simétrica
  • 3.10.1.3. Algoritmos de Chave Simétrica
  • 3.10.1.4. Criptografia Assimétrica
  • 3.10.1.5. Algoritmos de Chave Assimétrica
  • 3.10.1.6. Algoritmos para Geração de Assinatura Digital
  • 3.10.2. PKI (Public Key Infrastructure)
  • 3.10.3. Firewall
  • 3.10.4. Anti-Vírus
  • 3.10.4.1. Softwares de Prevenção
  • 3.10.4.2. Softwares de Detecção
  • 3.10.4.3. Software de Identificação
  • 3.10.4.4. Requisitos Básicos de um Antivírus
  • 3.10.5. VPN (Virtual Private Network)
  • 3.10.5.1. IPSec
  • 3.10.6. IDS (Intrusion Detection System )
  • 3.10.7. Backup
  • 3.10.8. RADIUS (Remote Authentication Dial In User Service)
  • 3.10.9. Biometria
  • 3.10.10. Call Back
  • 3.10.11. Token Card
  • Figura 5 – Autenticação desafio/resposta com ficha
  • Figura 6 – Autenticação com Sincronismo
  • 4.1. OBJETIVO GERAL DAS ORGANIZAÇÕES DE ADMINISTRAÇÃO TRIBUTÁRIA
  • 4.2. OBJETIVOS ESPECÍFICOS
  • 4.3. ORGANOGRAMA PADRÃO
  • Figura 7 - Estrutura Básica das Secretarias de Receita
  • 4.4. COMPETÊNCIAS GENÉRICAS
  • 4.4.1. Coordenação de Administração
  • 4.4.2. Coordenação de Informática
  • 4.4.3. Departamento de Tributação
  • 4.4.4. Departamento de Arrecadação
  • 4.4.5. Departamento de Fiscalização
  • 4.4.6. Departamento de Atendimento ao Contribuinte
  • 4.5. PERFIL DO USUÁRIO
  • 4.6. INTERAÇÃO COM OUTRAS ORGANIZAÇÕES
  • 4.7. PERSPECTIVAS DE EVOLUÇÃO
  • 4.8. MATRIZ DE USO DE DADOS
  • Tabela 1 - Matriz de Uso de dados
  • 5. POLÍTICA DE SEGURANÇA
  • 5.1. ANÁLISE DE RISCOS
  • 5.1.1. Vulnerabilidades
  • 5.1.1.1. Vulnerabilidades Externas
  • 5.1.1.2. Vulnerabilidades Internas
  • 5.1.1.3. Vulnerabilidades Referentes a Correio Eletrônico
  • 5.1.1.4. Vulnerabilidades Referentes a Aplicações
  • 5.1.1.5. Outras Vulnerabilidades
  • 5.2. NORMAS DE SEGURANÇA
  • 5.4. POLÍTICA DE SEGURANÇA LÓGICA
  • 5.6. APLICABILIDADE
  • 5.7. RESPONSABILIDADE
  • 5.8. SANÇÕES
  • 5.9. PLANO DE CONTINGÊNCIA
  • 5.9.1.1 Plano de Ação para Emergências
  • 5.9.2.2 Contagem dos Recursos e Avaliação de Criticidade
  • Tabela 3 – Contagem de Recursos
  • 5.9.2. Identificação de Ameaças e Contramedidas
  • Tabela 4 – Identificação de Ameaças
  • Tabela 5 – Ameaças e Contramedidas
  • 5.9.2 Procedimento de Resposta Imediata
  • 5.9.3 Plano de Recuperação de Desastre
  • 5.10. AUDITORIA
  • Figura 13 - Formação da Cultura de Segurança
  • 5.10.1. Recomendações ISO/IEC 17799:2000
  • 5.10.2. Tipos de Auditoria Propostos
  • 5.10.3. Quando Devem ser Feitas as Auditorias
  • 5.10.4. Como Auditar
  • 5.10.5. Metodologia
  • Figura 14 – Estrutura da Metodologia COBIT
  • 6. CONCLUSÃO
  • REFERÊNCIAS BIBLIOGRÁFICAS
  • ANEXO I
  • ANEXO II
  • ANEXO III

UNEB – UNIÃO EDUCACIONAL DE BRASILIA COPEX – COORDENAÇÃO DE ESTUDOS, PESQUISAS, PÓS-GRADUAÇÃO E EXTENSÃO REDES DE COMPUTADORES - TURMA B

DANIELE FERREIRA DENIS N. LOPES JOSE WALDEMAR POMPOLO LUCIANO TEIXEIRA ANDRADE MARIA DO SOCORRO B. HENRIQUES

PROPOSTA PARA UMA POLÍTICA DE SEGURANÇA DE DADOS APLICADA ÀS SECRETARIAS DE RECEITA

Brasília – DF 2001

UNEB – UNIÃO EDUCACIONAL DE BRASILIA COPEX – COORDENAÇÃO DE ESTUDOS, PESQUISAS, PÓS-GRADUAÇÃO E EXTENSÃO REDES DE COMPUTADORES - TURMA B

DANIELE FERREIRA DENIS N. LOPES JOSE WALDEMAR POMPOLO LUCIANO ANDRADE MARIA DO SOCORRO HENRIQUES

PROPOSTA PARA UMA POLÍTICA DE SEGURANÇA DE DADOS APLICADA ÀS SECRETARIAS DE RECEITA

Projeto apresentado à COPEX – Coordenação de Estudos, Pesquisas, Pós-Graduação e Extensão da UNEB – União Educacional de Brasília, parte dos requisitos para obtenção do título de Pós-Graduado em Redes de Computadores Orientador: Prof. César de Souza Machado

Brasília – DF 2001

iii

DANIELE FERREIRA DENIS N. LOPES JOSE WALDEMAR POMPOLO LUCIANO ANDRADE MARIA DO SOCORRO HENRIQUES

PROPOSTA PARA UMA POLÍTICA DE SEGURANÇA DE DADOS APLICADA ÀS SECRETARIAS DE RECEITA

Este projeto foi julgado adequado para obtenção do título de Pós-Graduado em Redes de Computadores e aprovado em sua forma final pela COPEX – Coordenação de Estudos, Pesquisas, Pós-Graduação e Extensão da UNEB – União Educacional de Brasília.

___________________________________ Prof. ……………………. Coordenador

Banca Examinadora: ___________________________________ Prof. César de Souza Machado. Orientador

___________________________________ Prof. Joaquim Gomide

___________________________________ Prof. Alex Delgado Casañas

estamos neste momento concluindo mais uma importante etapa em nossa jornada profissional. Agradecemos a todos de coração.iii Aos nossos familiares e companheiros. Graças a estas pessoas tão especiais. . que durante todo o curso de pós graduação e elaboração do projeto final entenderam nossas faltas e ausências nos incentivando com palavras e atos.

.10..............................27 3..............2...........................9........15 3..........................49 3...............................2.........22 3........ OBJETIVOS ...............2....15 2...........................................1................... PROJETO DE SEGURANÇA .......................29 3...........................................................35 3....... Auditoria ...............................10... OBJETIVOS ESPECÍFICOS:....10.4........................... Visão Geral de uma Política de Segurança.................................................... Riscos Externos .....................36 3.........29 3......................9..........................9....26 3...........................................................................46 3.........................................................9..........................9.10......3........................................................................ Premissas Básicas.. INTRODUÇÃO ....................................18 3....... Classificação das Informações ............................ HISTÓRICO DAS NORMAS DE PADRONIZAÇÃO DE SEGURANÇA ............................... SEGURANÇA DA INFORMAÇÃO............................................ Análise de Riscos ...45 3...............5................1............................................................. PKI (Public Key Infrastructure) ......................... MODELO DE SEGURANÇA .. Criptografia .........10.46 3.............. ARQUITETURA DE SEGURANÇA .......1........... PROCEDIMENTOS DE SEGURANÇA ...........7..........31 3.1............... Criptografia Simétrica ....................................................39 3.......19 3...................................1.......................................1... POLÍTICA DE SEGURANÇA......................................8.....................5......................................9...................2........................................................................................................ Flexibilidade .......49 ......................................................................................................................15 2............9.....10...... OBJETIVO GERAL . FERRAMENTAS DE SEGURANÇA ............ IX 1.............................5...........................42 3................................................................ Identificação dos Recursos ................1.....................10...........................45 3........4............ Criptografia Assimétrica .................................1..41 3.................12........4...17 3...........7..........9............................................................. Riscos Internos ...................................1.................................................11...............................9................................................................... Conteúdo Essencial........ Plano de Contingência...........1......2................................17 3...........12 2..............9..................................................9.8. Considerações Importantes .....9..............48 3.9.................31 3............30 3.........VII LISTA DE TABELAS .......................................................................6.1.......6..........................................................9.9. Algoritmos Criptográficos............................. FUNDAMENTAÇÃO TEÓRICA.....10............................................................. Análise de Ameaças .2................iv SUMÁRIO PÁGINA LISTA DE ILUSTRAÇÕES ..........................6....................... PLANO DE SEGURANÇA ....9.1.....33 3.........................................................................39 3....45 3........................... Algoritmos de Chave Simétrica...................................10.............................................3. Algoritmos para Geração de Assinatura Digital....................19 3.................20 3.............................17 3......... Algoritmos de Chave Assimétrica.......9..........21 3................................................................................................... VIII LISTA DE ABREVIATURAS E SIGLAS .................. Principais Atores ....................................10.3.................. NORMA DE SEGURANÇA ..................34 3.........................................................47 3.........2...

....................4.............................. Coordenação de Administração ...................................................72 4........................ OBJETIVOS ESPECÍFICOS ..4.................................1.....1...........................................69 4.......................9...........................................................3....10..3 Identificação de Ameaças e Contramedidas.............................................4....... Call Back............................. Departamento de Arrecadação..............1..8.........5..73 4...........................5.......................................................81 5..9.1 Plano de Ação para Emergências ...v 3........1........1.................................10....... Backup..........86 5.................1...............83 5......................3..................5........ INTERAÇÃO COM OUTRAS ORGANIZAÇÕES ...............................................................97 ....................................... ORGANOGRAMA PADRÃO .............. Biometria.............10................2............................ Firewall......71 4..... Vulnerabilidades Referentes a Aplicações .....4..........54 3..........3..........................87 5.... Token Card........................1...............................71 4....................................78 5.................................. PLANO DE CONTINGÊNCIA ............94 5..............4...............................7......................62 4................. Softwares de Prevenção.............................................................1.....54 3........5.............................4...............5....68 4.......................10.......................2................................ Requisitos Básicos de um Antivírus..................... Vulnerabilidades Referentes a Correio Eletrônico ....................6..............11.......10............ POLÍTICA DE SEGURANÇA..................................................................51 3..................8............... RADIUS (Remote Authentication Dial In User Service) ...70 4...........68 4......85 5...............................................................62 3...........1........................... Outras Vulnerabilidades .....................1......... Softwares de Detecção . POLÍTICA DE SEGURANÇA FÍSICA E DO AMBIENTE EM CONFORMIDADE COM A ISO/IEC 17799:2000 ........55 3............................................... POLÍTICA DE SEGURANÇA LÓGICA .....1........................................................................4.................................95 5..........................6.......10............ Departamento de Atendimento ao Contribuinte .......... POLÍTICA DE SEGURANÇA APLICADA A PESSOAS EM CONFORMIDADE COM A ISO/IEC 17799:2000................................... IPSec..........10..............................73 4..81 5......................7.......95 5...........................58 3.... NORMAS DE SEGURANÇA ..........70 4...........96 5....................... Departamento de Fiscalização ....10.......................10...86 5... Vulnerabilidades ........................................3...... COMPETÊNCIAS GENÉRICAS .........59 3.......1......3.......1.....6..4........7.............................................4...... ANÁLISE DE RISCOS .........................................2 Contagem dos Recursos e Avaliação de Criticidade.............91 5.............................................................................57 3...........1.......53 3.......94 5............ IDS (Intrusion Detection System ) ........... APLICABILIDADE ...1...........................4..............72 4....................................................................................................................................................85 5.............4........................ OBJETIVO GERAL DAS ORGANIZAÇÕES DE ADMINISTRAÇÃO TRIBUTÁRIA .....4........... Anti-Vírus......................... RESPONSABILIDADE .........9..........................9................................53 3......2........................10...................................................9...............................................................................60 3.................................................................. PERFIL DO USUÁRIO ......10.............. Vulnerabilidades Internas................83 5...10...... Departamento de Tributação................................................................ Software de Identificação .......................1............89 5..72 4.. Coordenação de Informática ............2........................................... SANÇÕES .......... Vulnerabilidades Externas.......4..................54 3...............................................................6.........5..1.....................................73 4.......3.............................................................61 3....... MATRIZ DE USO DE DADOS ......................8..............1.84 5..4...........4...........10...............................10.1......2......... VPN (Virtual Private Network).94 5................ PERSPECTIVAS DE EVOLUÇÃO ..........................................................1..................................................10........4............

.....................109 REFERÊNCIAS BIBLIOGRÁFICAS .........................2 Procedimento de Resposta Imediata........................3 Plano de Recuperação de Desastre ......................104 5........116 .................................................................................1..................................101 5........100 5.................................115 ANEXO III ........99 5....9...................100 5.....10..........................vi 5.....102 5.............10....................... AUDITORIA ..10.. Tipos de Auditoria Propostos ...........................2........................................... Quando Devem ser Feitas as Auditorias ....................................................................10.....................103 5..5..............................10...................................................... CONCLUSÃO................. Recomendações ISO/IEC 17799:2000......................114 ANEXO II..................9.........................................10............................................................................................4......................................................3.. Como Auditar......................................... Metodologia ............................................................................................111 ANEXO I ......................................106 6.......................................................................

...................................................Formação da Cultura de Segurança .........vii LISTA DE ILUSTRAÇÕES PÁGINA Figura 1 – Requisitos do Modelo de Segurança................................................................Estrutura Básica das Secretarias de Receita ................................................................. 64 Figura 7 .......................................... 42 Figura 4 ................ ........... 70 Figura 8 – Modelo observado no final da década de 1980 na maioria das Secretarias de Receita......................... 63 Figura 6 – Autenticação com Sincronismo..................................... 78 Figura 13 ................................Funcionamento do Processo Real-time Online Certificate Status Checking:...................................... 27 Figura 3 ......................... 22 Figura 2 – Processo de uma Política de Segurança ...................................... 75 Figura 10 – Modelo implantado a partir da segunda metade da década de 1990 e observado até hoje num grande número Secretarias de Receita... ........................................ 74 Figura 9 – Modelo observado na primeira metade da década de 1990 .........................................................Metodologia CobiT....................................................... 77 Figura 12 – Modelo de organograma observado como tendência para as Secretarias de Receita a ser implantado nos próximos anos............................. 76 Figura 11 – Modelo tendência para implantação ainda na década de 2000..... 101 Figura 14 – Estrutura da Metodologia COBIT................ ................................... 108 ........................................... 50 Figura 5 – Autenticação desafio/resposta com ficha ............................

.................................................................Matriz de Uso de dados ................................................................................................................... 82 Tabela 3 – Contagem de Recursos ......................... 98 Tabela 5 – Ameaças e Contramedidas..........viii LISTA DE TABELAS PÁGINA Tabela 1 ............................. 99 .................................................................................................................. 80 Tabela 2 – Análise de Ameaças. 97 Tabela 4 – Identificação de Ameaças .................................................

ix LISTA DE ABREVIATURAS E SIGLAS ATM ACK AES AH BS CA CC CCITSE CCSC CD-Rom CHAP CNPJ CO2 CobiT COSO CPD CPF CPU CRL CSI/FBI CTCPEC CTN CVM DES DTI ESP FD FTP GB HD HP HTTP IBM ICMS ID IDEA IDS IETF IKE INC. IP IPSec IPVA ISO/IEC IT ITSEC LAN MB MD5 MS-Office Asynchronous Transfer Mode Acknowledgement Advanced Encryption Standard Authentication Header British Standard Certificate Authorities Common Criteria Common Criteria for Information Technology Security Evaluation Centro Comercial de Segurança na Computação Compact Disc-Read Only Memory Challenge Handshake Authentication Protocol Cadastro Nacional de Pessoa Jurídica Gás Carbônico Control Objectives for Information and Related Technology Committee of Sponsoring Organizations of the Treadway Commission Centro de Processamento de Dados Cadastro de Pessoa Física Central Process Unit Lista de Certificados Revogados Computer Crime and Security Survey/Federal Bureau of Investigation Canadian Trusted Computer Product Evaluation Criteria Código Tributário Nacional Comissão de Valores Mobiliários Data Encryption Standard Departamento de Comércio Britânico Encapsulating Security Payload Floppy Disk File Transfer Protocol Gigabyte Hard Disk Hewlett Packard Hypertext Transfer Protocol International Business Machines Imposto sobre Circulação de Mercadorias e Serviços Identification International Data Encryption Algorithm Intrusion Detective System Internet Engineering Task Force Internet Key Exchange Incorporated Internet Protocol Internet Protocol Security Imposto sobre Propriedade de Veículos Automotores International Organization for Standardization/International Engineer Committee Information Technology Information Technology Security Evaluation Criteria Local Area Networks Megabyte Message Digest 5 Microsoft Office .

RC4 RFC RIP RSA RSA/DSI SAC SAS SMTP SP SSL TCP TCSEC TFTP TI UDP UNEB UPS VB VPN WAN Web ( WWW. Adleman Data Security Inc. Shamir. W3) Network Access Server National Bureau of Standards National Computing Center Network Interface Card National Institute of Standards in Technology National Security Agency Open System Interconnect Password Authentication Protocol Public Key Infrastructure Programa Nacional de Apoio à Administração dos Estados e Municípios Post Office Protocol versão 3 Point to Point Point to Point Tunneling Protocol Registration Authorities Remote Access Dial In User Service Random Access Memory Remote Access Server Rivest Cipher Request for Comments Routing Information Protocol Rivest. Shamir.x NAS NBS NCC NIC NIST NSA OSI PAP PKI PNAFEM POP3 PPP PPTP RA RADIUS RAM RAS RC2. Adleman Rivest. Systems Auditability and Control Statements on Auditing Standards Simple Mail Transfer Protocol Service Pack Secure Sockets Layer Transport Control Protocol Trusted Computer System Evaluation Criteria Trivial File Transfer Protocol Tecnologia da Informação User Datagrama Protocol União Educacional de Brasília Uninterruptable Power System Visual Basic Virtual Private Network Wide Area Networks World Wide Web .

. nunca imaginamos que um servidor de nossa carreira pudesse cometer um crime destes . é atitude de um desequilibrado.......” Fernando Néri Presidente da Módulo Security. qualificando um ex funcionário de sua empresa que divulgou para a imprensa esquemas das redes de grandes clientes para os quais prestava consultoria Maio/2001 “... não imaginamos que alguém da casa pudesse cometer tal desatino .. nós sempre nos preocupamos com possíveis invasões externas..xi Abril/2001 “.. “ Regina Peres Teles Borges Ex Diretora do PRODASEN tentando explicar a violação do painel de votações do Senado Federal Junho/2001 “.” Altair Lemos Moura Diretor de administração do Ministério da Fazenda em São Paulo justificando as fraudes no sistema de pagamento de pensionistas do Ministério .

Com a chegada dos computadores pessoais e das redes de computadores que se conectam ao mundo inteiro. os aspectos de segurança atingiram tamanha complexidade que há a necessidade do desenvolvimento de equipes cada vez mais especializadas para sua implementação e gerência. previsto na Constituição. É fundamental garantir o direito dos cidadãos à privacidade. que doravante chamaremos de Secretarias de Receita. é uma diretriz que se materializa gradativamente. sem computadores e redes de comunicação. Paralelamente. os sistemas de informação também adquiriram uma importância vital para a sobrevivência da maioria das organizações modernas. Como ocorreu na evolução de vários outros produtos. tem se manifestado no sentido de assegurar a proteção da informação sob sua guarda e aquelas de interesse do cidadão. Os sites de Internet devem comprometer-se em garantir a confiabilidade das informações de caráter pessoal que são armazenadas em suas bases de dados.12 1. comunicar e usar informações vitais. Logo depois que as organizações começaram a utilizar intensamente os ambientes de computação em rede para aprimorar sua capacidade de criar. a prestação de serviços com qualidade pode se tornar inviável. levando-nos a propor uma discussão sobre a formulação de uma política de segurança da informação aplicada às instituições governamentais de administração tributária. além do direito à consulta sobre os dados disponibilizados nos sistemas governamentais. turma B. Recentes fatos noticiados na imprensa coincidiram com a conclusão do curso de Redes de Computadores 2000/2001 – UNEB. em diversas oportunidades. já que. A distribuição da massa informacional. a preocupação em relação à proteção destas contra o acesso não autorizado e possível destruição cresceu de forma acentuada. INTRODUÇÃO No âmbito do Governo existem perdas que podem causar danos irreparáveis. armazenar. a indústria de segurança de rede inicialmente concentrou seus . garantida através de mecanismos de segurança para as diversas linhas de aplicação e suporte às atividades dentro e fora do governo. sejam elas relativas aos usuários ou às pessoas que compõem a Administração Pública. O Governo Federal. Tal preocupação decorreu do fato destas instituições terem passado recentemente por grandes revoluções no campo da informática aplicada quando decidiram caminhar na direção da autonomia e se libertar das Companhias Estaduais/Municipais de Processamento de Dados.

estes sistemas de segunda geração também raramente incluíam recursos para simular diferentes cenários de proteção e/ou realizar uma análise de custo/benefício das medidas de segurança propostas. Média e Baixa. A variedade e a complexidade das redes levaram ao desenvolvimento de mecanismos mais sofisticados para identificar áreas vulneráveis que exigiam atenção constante. Embora a maioria dos produtos comerciais de verificação fizessem um trabalho confiável de identificação das vulnerabilidades e das medidas de segurança que podiam ser utilizadas para solucioná-las. deram origem a vários produtos comerciais. Nos últimos anos. Sua principal meta é tornar o gerenciamento de risco de segurança da rede parte integrante do conjunto de ferramentas básicas da organização para um gerenciamento “24 X 7” ou seja. as metas e os objetivos comerciais da empresa. o conceito de verificação e teste surgiu em produtos direcionados ao mercado de invasores potenciais e. disponibilidade da rede 24 horas dos 7 dias da semana. como o tradicional sistema de prioridades: Alta. por fim. compatível com as suas metas estratégicas. . um gerenciamento de segurança realmente eficaz deve ser capaz de fornecer um contexto amplo para a aplicação mais apropriada de métodos de verificação. que permite tomar decisões de segurança de forma racional. simulando invasões em vários pontos diferentes. testes e análises. seus mecanismos de classificação não iam muito além de graduações relativamente grosseiras. Em vez de ser uma atividade de escopo limitado ou um evento periódico. Para oferecer suporte à decisão. levando em consideração a missão geral. as organizações reguladoras e padronizadoras do setor de segurança têm dado ênfase à definição e à implantação de sistemas de gerenciamento de risco abrangentes. Diante da nova situação surgiu uma nova categoria de produtos que consistia em sistemas de “verificação e teste”. Em um primeiro momento. Estes produtos tinham como principal objetivo identificar pontos fracos na rede através da aplicação de uma variedade de cenários de invasão.13 esforços em proteger os pontos fracos mais óbvios. O grande mérito das soluções de segurança de rede de terceira geração é reunir todos os recursos já existentes em um único recurso abrangente. para identificar outras áreas vulneráveis que necessitavam de atenção. O principal objetivo da verificação era identificar o maior número possível de vulnerabilidades no sistema. orientado para gerenciamento. proteções e outras medidas de segurança. em seguida. partindo.

o gerenciamento estruturado dos riscos deve invariavelmente começar com a compreensão da importância e do valor relativos de todas as informações. da catalogação e análise iniciais dos ativos de informação será possível avaliar os impactos de sua possível destruição ou comprometimento. tanto públicas quanto privadas. perceberam que se tornaram vulneráveis. devem-se adotar políticas de segurança que determinem quais itens devem merecer atenção e com quais custos. . procuraram implementar metodologias e ferramentas de segurança. Apenas através da identificação. A tendência de negligência quanto aos procedimentos de segurança até que ocorra algum problema grave é muito comum nos ambientes denominados “cliente-servidor”. mas que não retirasse do usuário a agilidade necessária ao bom funcionamento do negócio. Para evitar que isto ocorra. O inventário de informações (ativos) oferece um contexto apropriado para julgar os riscos reais decorrentes das possíveis vulnerabilidades e ameaças a estes ativos.14 Considerando a organização como um todo. sendo o grande desafio desta questão a criação de um ambiente controlado e confiável. Como as organizações.

A realidade das Secretarias de Receita ainda baseia-se em Sistemas Corporativos voltados para ambientes fechados (mainframe).2. 2. vandalismo. sabotagem. fogo e inundação. espionagem. que garante o sigilo fiscal. confidencialidade.1. disponibilidade da informação e não repúdio dos dados. Considerando que os dados e informações residentes nas Secretarias de Receita podem refletir a vida financeira e contábil de pessoas e empresas e são legalmente protegidas pelo Código Tributário Nacional . Desenvolver controles de segurança física. surge a necessidade de se implementarem mecanismos eficientes que possam garantir a integridade. Atualmente.CTN. autenticidade. sendo quase impossível manter seus negócios sem o auxílio do computador. lógicos e pessoais. . seus sistemas de informação e redes de computadores são colocados a prova por diversos tipos de ameaças à segurança da informação. OBJETIVO GERAL Este trabalho tem por objetivo apresentar uma proposta de política de segurança baseada na norma ISO/IEC 17799:2000 às Secretarias de Receita.15 2. incluindo fraudes eletrônicas. as grandes organizações e instituições estão cada vez mais dependentes de novas tecnologias. Conscientizar os funcionários e prestadores de serviço quanto à segurança das informações. apresentando controles físicos. OBJETIVOS ESPECÍFICOS: • • • • Levantar as necessidades das Secretarias de Receita quanto à segurança das informações em seu poder. OBJETIVOS 2. A excessiva demanda da comunidade por acesso às informações residentes e tratadas nestas instituições levou seus administradores a buscarem novos meios para dar vazão a esta demanda. Cada vez mais estas organizações. Apresentar os riscos. lógica e pessoal. ameaças e vulnerabilidades que podem afetar a segurança da informação e as contramedidas pare prevenir ataques.

Propor uma metodologia de auditoria como elemento de apoio à administração de segurança da informação. Elaborar um plano de contingência visando garantir a continuidade do negócio das Secretarias de Receita. .16 • • • Apresentar uma proposta de política de segurança à alta administração das Secretarias de Receita buscando comprometimento e apoio para implementação da mesma.

garantia de que o emissor não negará um procedimento por ele realizado.1. A segurança da informação consiste na preservação dos seguintes atributos: • • • Confidencialidade . OPPENHEIMER. Integridade . além disso.garantia de que os usuários autorizados tenham acesso à informação e aos ativos correspondentes quando necessário (ISO/IEC 17799:2000). (FRASER. Conforme o caso. Disponibilidade . Um desses aspectos consiste na elaboração de um plano de segurança. FUNDAMENTAÇÃO TEÓRICA A fim de facilitar o entendimento geral. PROJETO DE SEGURANÇA A estratégia de segurança da informação de uma empresa exige a elaboração de um projeto de segurança que descreva todos os aspectos da segurança da informação na empresa.garantia de que as informações e métodos de processamento somente sejam alterados através de ações planejadas e autorizadas. Não repúdio . 3. . consideram-se as ferramentas de hardware e software utilizadas e o domínio da aplicabilidade das mesmas pela organização.garantia de que a informação é acessível somente por pessoas autorizadas. 3. serão descritos a seguir alguns conceitos básicos importantes para a discussão do tema. 1999). também podem ser fundamentais para garantir a segurança da informação: • • Autenticação .garantia da identidade da origem e do destinatário de uma informação. 1997.17 3. SEGURANÇA DA INFORMAÇÃO A segurança da informação de uma instituição passa primeiramente por uma relação considerável de normas que regem os comportamentos de seu público interno e suas próprias atitudes em relação aos clientes externos.2.

É muito importante que a administração corporativa . O plano deve estar baseado na análise de ativos de redes e riscos. dos procedimentos de controle dos ambientes. incidentes e contingências. as pessoas e outros recursos que serão necessários para desenvolver uma norma de segurança e alcançar a implementação técnica da norma. quem terá acesso aos serviços. segundo Oppenheimer (1999). o modo como o acesso será fornecido e quem irá administrar os serviços. correio eletrônico e outros. Desenvolvimento de um plano de segurança. Esta lista deve especificar quem fornecerá os serviços. Um dos aspectos mais importantes do plano de segurança é uma especificação das pessoas que devem estar envolvidas na implementação da segurança de rede: • • • Serão contratados administradores de segurança especializados? Como os usuários finais e seus gerentes estarão envolvidos? Como os usuários finais. FTP. a descrição detalhada de sua implementação. Análise dos requisitos de segurança e compromissos. e Implementação. um plano de segurança precisa ter o apoio de todos os níveis de funcionários dentro da organização. Desenvolvimento de procedimentos para implantar a norma e uma estratégia de implementação. quem terá acesso aos serviços. Web. 3. como por exemplo. O plano especifica o tempo. quais áreas da empresa disponibilizam os serviços. Deve fazer referência à topologia de rede e incluir uma lista de serviços de rede que serão fornecidos. PLANO DE SEGURANÇA Plano de Segurança é um documento de alto nível que propõe o que uma organização deve fazer para satisfazer os requisitos de segurança.18 O projeto de segurança. Análise dos riscos de segurança. contendo a relação dos serviços de TI disponibilizados. gerentes e pessoal técnico serão treinados sobre normas e procedimentos de segurança? Para ser útil. Definição de uma norma de segurança.3. gerenciamento e auditoria dos procedimentos de segurança. envolve várias etapas de trabalho: • • • • • • • Identificação dos ativos da empresa em termos de informações.

3. a nível de descrição de execução de . (RFC 2196. a norma de segurança deve ter o comprometimento de funcionários. executivos e pessoal técnico. ou seja. Pelo fato de as organizações mudarem continuamente. auditoria e configuração. as normas de segurança devem ser atualizadas com regularidade a fim de refletirem novas orientações comerciais e mudanças tecnológicas (Oppenheimer. NORMA DE SEGURANÇA Norma de segurança é uma declaração formal das regras às quais as pessoas que têm um determinado acesso à tecnologia e aos ativos de informações de uma organização devem obedecer. Da mesma forma que o plano. O desenvolvimento de uma norma de segurança é trabalho dos administradores de redes. cujo cumprimento visa garantir a segurança das informações e recursos de uma instituição. entre o nível estratégico e o de descrição de procedimentos. A norma de segurança é um documento vivo. PROCEDIMENTOS DE SEGURANÇA Os procedimentos de segurança implementam normas de segurança. Pode-se definir ainda.19 apoie plenamente o plano de segurança. a norma de segurança deve ser explicada a todos pela gerência superior. Podem-se definir procedimentos de segurança como sendo um estatuto no qual estão transcritas regras de nível operacional. Uma vez desenvolvida. login. 1999).4. 1999). The Site Security Handbook). da mesma forma que os usuários finais (Oppenheimer. O pessoal técnico da rede e de locais remotos deve se envolver no plano.5. Muitas empresas exigem que o pessoal assine uma declaração indicando que leu. 3. ou seja. gerentes. norma de segurança como sendo um estatuto no qual estão transcritas regras de nível intermediário. A norma deve especificar os mecanismos pelos quais estas obrigações podem ser cumpridas. gerentes e ao pessoal técnico de suas obrigações para proteger os ativos de tecnologia e informações. A norma de segurança informa aos usuários. definem processos de configuração. dentro de um segmento particular do ambiente desta corporação. compreendeu e concorda em cumprir as normas.

dados. fazer auditoria e desenvolver o plano de contingência com objetivo de manter o negócio da Secretaria de Receita sempre ativo. Uma arquitetura de segurança deve levar em consideração três elementos básicos: pessoas. lógicos. dentro de um segmento particular do ambiente da corporação. Os procedimentos de segurança podem ser comunicados aos usuários e administradores em turmas de treinamento lideradas por instrutores qualificados. Devem ser escritos procedimentos de segurança para usuários finais. técnicos e administrativos necessários para a garantia da segurança da informação (ROBERTI. deve existir uma arquitetura de segurança com potencial necessário para atingir todas as metas e objetivos de segurança desejáveis sem comprometer a capacidade de adaptabilidade e a independência dos recursos de TI (Tecnologia da Informação). impactos e custos ao qual ele está submetido. Para implementar a política de segurança deve ser criada uma arquitetura de segurança que consiste na aplicação de todos os controles físicos. Para tanto. 3.6. ARQUITETURA DE SEGURANÇA Com base na norma de segurança. Os procedimentos de segurança devem especificar como controlar incidentes (quer dizer. administradores de redes e administradores de segurança. comunicação de dados e gerência de sistemas e rede. são criados o plano de contingência e o processo de auditoria. 2001). Em um ambiente como o da Secretaria de Receita. o modelo de segurança e a junção de padrões e tecnologias. A divulgação deve ser restrita aos funcionários diretamente envolvidos. cujo cumprimento visa garantir a segurança das informações de uma instituição. a arquitetura de segurança recomendada deve fornecer as bases para os aspectos de segurança dos seguintes elementos: aplicações. Com base nessa arquitetura. . é criado um documento denominado política de segurança para ser divulgado em toda empresa. o que fazer e quem contatar se uma intromissão for detectada). Uma arquitetura de segurança representa um elenco de recomendações que define os princípios e fundamentos que devem ser observados na implementação de um ambiente considerado seguro em relação aos riscos. baseado na arquitetura clienteservidor.20 ações.

21 É importante salientar que a arquitetura de segurança proposta deve conduzir a implementações que sejam financeiramente possíveis para a organização. denomina-se modelo de segurança que. por exemplo. padrões e tecnologias usadas em um Modelo de Segurança. Definir relacionamentos entre os componentes de segurança: autenticação e permissão de acesso. funcionários. MODELO DE SEGURANÇA O conjunto de todos os controles. antes de qualquer entidade (usuários. como por exemplo a norma ISO/IEC 17799:2000 e CobiT. por exemplo: criptografias e cartão inteligente. se corretamente implementado. é necessário saber quais recursos podem ser utilizados com segurança e quais informações são confidenciais. pode reduzir o custo do desenvolvimento e do gerenciamento da segurança. Estar em conformidade com padrões infacto. Um modelo de segurança endereça os requisitos técnicos de segurança exigidos conforme figura a seguir. aplicação de rede. e Obter a conscientização de usuários finais. Em um ambiente confiável. Possuir um modo consistente de gerenciamento. Ter performance e disponibilidade dos mecanismos de segurança. Uma arquitetura de segurança eficiente e eficaz deve levar em conta o trinômio: pessoas. Um modelo de segurança deve prover a habilidade de proteger adequadamente a informação. a arquitetura deve possuir as seguintes qualidades: • • • • • • • Ser independente de plataforma operacional. Ser alavancada por tecnologias de segurança amadurecidas. Ambientes de TI como os da Secretaria de Receita geralmente são dinâmicos e sujeitos a muitas pressões da sociedade. Para tanto.7. programas) confiar em um sistema. procedimentos e mecanismos de segurança. 3. .

França. Holanda. Fonte: Arquitetura de Segurança desenvolvido pela HP para o Tribunal Superior Eleitoral A fundação consiste de declarações claras e concisas. Alemanha. Reino Unido e Canadá têm se empenhado no desenvolvimento de Padrões de . Os princípios de segurança são declarações particulares que definem o que a segurança significa para a organização e como será administrada. países como Estados Unidos. É através dos princípios que a Arquitetura de Segurança será definida.22 MODELO DE SEGURANÇA AMBIENTE CONFIÁVEL SEGURANÇA INTEGRIDADE AUTORIZAÇÃO CONFIDENCIALIDADE AUTENTICAÇÃO PERFORMANC DISPONIBILIDADE CONTROLES ACESSO FÍSICO ACESSO À REDE GERÊNCIA MONITORAÇÃO E DETECÇÃO RECUPERAÇÃO CONTINUIDADE DURABILIDADE CONSISTÊNCIA GERÊNCIA DE MUDANÇAS NÃO REPÚDIO AUDITORIA FUNDAÇÃO POLÍTICAS DE SEGURANÇA PRINCÍPIOS DE SEGURANÇA PADRÕES E CRITÉRIOS DE SEGURANÇA EDUCAÇÃO Figura 1 – Requisitos do Modelo de Segurança. 3. recuperação e para assegurar conformidade às leis e regulamentos aplicáveis à arquitetura de segurança. performance e disponibilidade dentro dos limites aceitáveis e definidos nos princípios e na política de segurança. HISTÓRICO DAS NORMAS DE PADRONIZAÇÃO DE SEGURANÇA Nas últimas duas décadas. políticas e procedimentos de segurança da instituição que servirão como guia para a gerência de riscos. requisitos de autenticação e os controles. Os princípios indicam itens como identificação. Os controles referem-se a gerência e mensuração das operações sobre sistemas e dados no ambiente. Entende-se por ambiente confiável a combinação de segurança. proteção de dados e recursos.8.

elaborado pela França. e modelo de documentação requerido a cada tipo de evento. sistemas de rede. CTCPEC. estes critérios são definidos como critérios . testes. banco de dados e periféricos não foram suficientemente conceituados por esta norma. A norma canadense. cuja versão final saiu em 1985. Holanda e Reino Unido e adotado pelos países membros do Mercado Comum Europeu. Os critérios divididos anteriormente em funcionalidade e confiabilidade passam a serem divididos na CTCPEC. O Departamento de Defesa dos Estados Unidos lançou em 1983 o Trusted Computer System Evaluation Criteria . Este último descreve o tipo. alarga o horizonte para incluir sistemas monolíticos. a disponibilidade e a legitimidade. passou a ser o critério de normatização do Canadá (janeiro de 1993. a evidência escrita na forma de guias de usuário. 2 em janeiro de 1993. lançado em junho de 1991. O Orange Book (TCSEC) define a Política de Segurança e conceitos de responsabilidade. Como o comércio não poderia dispor e avaliar produtos em múltiplos países com múltiplos padrões.23 Segurança para Tecnologia da Informação. manuais. Vol. O Federal Criteria for Information Technology Security foi elaborado em conjunto pelo National Institute of Standards and Technology (NIST) e o National Security Agency (NSA) dos Estados Unidos. última edição). bancos de dados. subsistemas. garantia e documentação. a Canadian Trusted Computer Product Evaluation Criteria (CTCPEC).(ITSEC). a confidencialidade. A primeira tentativa de desenvolver um critério padrão foi o Information Technology Security Evaluation Criteria . Esta norma européia introduz o conceito de separar as exigências funcionais e as exigências de garantia.(TCSEC). O ITSEC faz a primeira tentativa de desenvolver critérios padronizados para a Comunidade Européia. a integridade. e permite a seleção arbitrária da segurança funcional a níveis de graus de garantia. conhecido como o Orange Book. A canadense. 1 em dezembro de 1992 e vol. sistemas distribuídos. e outros. Alemanha. Os sistemas de administração de redes. em quatro critérios: da garantia em TI. sistemas multi-processados. tornou-se necessária uma normatização e posteriormente uma harmonização. A enorme disponibilidade de produtos no mercado internacional gerou a necessidade de padrões que pudessem ter ampla aceitação e aplicabilidade no mercado.

O modelo básico foi ao longo do tempo sendo complementado com adição de outros documentos. o desenvolvimento e a avaliação de produtos de segurança para TI. os recursos e os usuários do ambiente. orientações e restrições para o aperfeiçoamento dos padrões existentes além de guiar o desenvolvimento de novos padrões. O Common Criteria pode ser usado por consumidores para ajudá-los a decidir quais produtos de segurança comprar baseados nas classificações do CC. . visando permitir comunicações cada vez mais seguras e prover uma abordagem consistente para segurança em ambiente ISO. geralmente referido apenas como “Common Criteria” (CC). O Common Criteria é um esforço multinacional de escrever um sucessor para o TCSEC e ITSEC. dentre eles o ISO/IEC 7498-2 que trata dos aspectos relativos à segurança e sua forma de aplicação em circunstâncias onde é necessário proteger os dados. a versão 2. Em Janeiro de 1996. que combina os melhores aspectos de ambos.0 em maio de 1998 e a última versão em agosto de 1999. A chave deste esforço é o avanço do estado da arte da segurança em TI e a harmonização de esforços internacionais. em conjunto com o esquema básico definido no modelo de referência. Este padrão é conhecido como Common Criteria for Information Technology Security Evaluation . os Estados Unidos. e também para publicar suas exigências de segurança de forma que os vendedores possam desenvolver produtos que estejam de acordo com as mesmas. O modelo de referência OSI/ISO/IEC inicialmente foi elaborado para permitir a interconexão entre sistemas baseados em diferentes plataformas.CCITSE (Critério Comum para Avaliação de Segurança da Tecnologia da Informação). para desenvolver e criar produtos de forma a provar aos avaliadores que tais produtos preenchem os requisitos. Uma versão inicial (v. O CC também serve para auxiliar os avaliadores a julgar se um produto preenche ou não os requisitos de segurança e para fornecer dados quando estiver formando métodos específicos de avaliação. França. Reino Unido. 1.0) foi publicada em Janeiro de 1996. A arquitetura de segurança ISO estabelece.24 O Federal Criteria tem como característica a especificação. O CC pode ser útil para os desenvolvedores auxiliando na escolha de quais requisitos de segurança vão incluir em seus produtos. e para determinar suas responsabilidades em apoiar e avaliar seus produtos. Canadá e Holanda publicaram uma avaliação de padrões desenvolvida em conjunto para um mercado multinacional. Alemanha. a comunicação.

foi publicada em abril de 1999.25 A arquitetura de segurança apresentada no modelo ISO/IEC 7498-2 possui os seguintes objetivos: • • Descrever os serviços de segurança e os mecanismos a eles relacionados e Definir a posição dos serviços de segurança e dos mecanismos associados no modelo de referência. Fundado em maio de 1987. Neste ínterim. A ISO/IEC 17799:2000 tem como objetivo permitir que companhias que cumprem a norma demostrem publicamente que podem resguardar a confidencialidade. A parte 1 do padrão foi proposta como um padrão ISO em outubro de 1999 e aprovada por maioria em votação internacional em agosto de 2000. a primeira revisão do padrão. O National Computing Center (NCC) e posteriormente um consórcio de usuários. Seguindo um período de mais consultas públicas. Após um período de extensivas revisões e consultas públicas que iniciou em novembro de 1997. Em outubro de 2000. a BS 7799-2:1998 foi adicionada em fevereiro de 1998. bem como um esquema associado de avaliação e certificação. integridade a disponibilidade das informações de seus clientes. . Uma segunda parte. a princípio. oito pequenas modificações ao texto da BS foram aprovadas e o padrão foi publicado como ISO/IEC 17799:2000 em 1 de dezembro de 2000. a segunda tarefa era ajudar os usuários a produzirem um código de boas práticas de segurança que resultou em um “Código de Práticas para Usuários”. deram continuidade ao seu desenvolvimento para garantir que o Código era tanto significativo quanto prático do ponto de vista dos usuários. principalmente da Indústria Britânica. foi posteriormente relançado como a British Standard BS7799:1995. A origem da ISO/IEC 17799:2000 remonta aos dias do Centro Comercial de Segurança na Computação (CCSC) do Departamento de Comércio Britânico (DTI). o PD 0003. o comitê responsável pelo desenvolvimento da BS 7799 está se preparando para atualizar a parte 2 de forma a ser proposta como padrão ISO. O resultado final foi publicado. como um documento de orientação dos Padrões Britânicos. o CCSC tinha duas principais tarefas: a primeira era auxiliar os vendedores de produtos de segurança de TI a estabelecer um conjunto de critérios de avaliação de segurança reconhecido internacionalmente. publicado em 1989. Consistia em um código de práticas para gerenciamento de segurança da informação. a BS7799:1999. A arquitetura ISO trata exclusivamente dos aspectos de segurança relacionados à comunicação entre os sistemas finais não abrangendo medidas de segurança que devem ser adotadas nos sistemas complementares necessárias para garantir a proteção completa dos recursos e dados do sistema.

é . conscientização sobre segurança para os funcionários. configurar e auditar sistemas computacionais e redes. Outro propósito é oferecer um ponto de referência a partir do qual se possa adquirir. Portanto. POLÍTICA DE SEGURANÇA A política de segurança tem por objetivo prover à administração uma direção e apoio para a segurança da informação.26 A ISO/IEC 17799:2000 fornece mais de 127 orientações de segurança estruturadas em 10 títulos principais para possibilitar aos leitores identificarem os controles de segurança apropriados para sua organização ou áreas de responsabilidade. uma tentativa de utilizar um conjunto de ferramentas de segurança na ausência de pelo menos uma política de segurança implícita não faz sentido (RFC 2196). Uma vez que a política é um estatuto.9. A política deve especificar as metas de segurança da organização. as suas obrigações para a proteção da tecnologia e do acesso à informação. Com o intuito de tornar a política de segurança um instrumento que viabilize a aplicação prática e a manutenção de uma infra-estrutura de segurança para a instituição. Cada regra da política serve como referência básica para a elaboração do conjunto de regras particulares e detalhadas que compõem as normas e os procedimentos de segurança. A política deve especificar os mecanismos através dos quais estes requisitos podem ser alcançados. A administração deve estabelecer uma política clara e demonstrar apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda a organização (ISO/IEC 17799:2000). para que sejam adequados aos requisitos propostos. a ISO/IEC 17799:2000 dá orientações sobre políticas de segurança. onde as responsabilidades recaem. e qual o comprometimento da organização com a segurança. 3. O principal propósito de uma política de segurança é informar aos usuários. aprovação e aplicação sigam os ritos internos da instituição na qual será aplicada. é necessário que a sua elaboração. equipe e gerentes. O caráter estratégico de uma política de segurança deve garantir que a mesma aborde questões que são essenciais para a corporação como um todo. Além de fornecer controles detalhados de segurança para computadores e redes. Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. plano de continuidade dos negócios e requisitos legais.

uma política só apresentará efetividade ao longo do tempo se sofrer constantes reavaliações e atualizações conforme o ciclo de etapas mostrado a seguir. É importante lembrar que toda regra aplicada a uma instituição deve estar em consonância com os objetivos fins da mesma.1. ou controles. sendo que o limite será ditado pelas necessidades e conveniências da instituição para a qual são elaborados as regras de segurança. normas. Considerando a mutabilidade de tais elementos e dos próprios objetivos e metas da organização. Cabe ressaltar que. Visão Geral de uma Política de Segurança A elaboração de um programa sistematizado de segurança de informações parte da análise das seguintes indagações: .9. tal qual numa hierarquia. quanto mais baixo o nível hierárquico de um documento de segurança em relação à política. A política de segurança como um elemento institucional da organização possui um ciclo de vida indefinido e deve prever todos os mecanismos de defesa contra qualquer ameaça conforme estabelecido no estudo de custos x benefícios. mas um meio para se chegar a um objetivo maior. Outros níveis podem existir. Estes estatutos podem ser referidos como políticas específicas. mais detalhado e de caráter operacional será. regras complementares.27 necessário que a política seja desdobrada em estatutos mais detalhados. Implementação Auditoria Administração Figura 2 – Processo de uma Política de Segurança Diretrizes e normas 3. A segurança não é um fim em si mesma.

e como proteger. para a maioria das organizações. Embora isto possa parecer óbvio. Este é o processo de examinar todos os riscos e ordenar esses . Como por exemplo. A análise de risco envolve determinar o que se deve proteger. confiança e outras medidas menos óbvias. deve-se atentar para os seguintes princípios que norteiam um bom programa de segurança de informação: • • • Confidencialidade – garantia contra o acesso de qualquer pessoa/entidade não explicitamente autorizada. Custo neste contexto significa incluir perdas expressas em moeda corrente real.. a maior perda ocorre com intrusos internos. saber quais as conseqüências da falta de segurança. existe muita publicidade sobre intrusos externos em sistemas de computadores. do que se deve proteger. Integridade – garantia de que os dados não sejam apagados ou de alguma forma alterados sem a permissão competente. identificar os pontos vulneráveis e determinar uma solução adequada para a organização. o que ajuda a definir quanto vale a pena gastar com proteção. Disponibilidade – garantia de que os serviços e os dados estejam disponíveis no momento em que são requisitados por pessoa ou entidade autorizada. Uma das razões mais importantes de criar uma política de segurança da informação é assegurar que esforços despendidos em segurança renderão benefícios efetivos. é possível se enganar sobre onde os esforços são necessários. recursos financeiros e humanos se pretendem gastar para atingir os objetivos de segurança desejados? Qual a expectativa dos usuários e clientes em relação à segurança das informações? Quais as conseqüências no caso dos recursos serem corrompidos ou roubados? Obtidas as respostas às indagações acima. É preciso conhecer os riscos. O primeiro passo para isto é avaliar o valor do bem ou recurso a ser protegido e sua importância para a organização. mas a grande parte das pesquisas sobre segurança mostram que. reputação.28 • • • • • • • • O que se deseja proteger? Contra que ou quem? Quais são as ameaças mais prováveis? Qual a importância de cada recurso? Qual o grau de proteção desejado? Quanto tempo.

propriedade intelectual e todos os vários componentes de hardware. tais como informações proprietárias. terminais. mas. Este processo envolve a tomada de decisão sobre o custo benefício do que se deve proteger. sistemas. hardware. sistemas operacionais e programas de comunicação. utilitários. alguns são negligenciados. Dados: durante execução. estações de trabalho. teclados. Documentação: administrativos. Pessoas: usuários. servidores de terminais. Uma política de segurança não deve prejudicar os processos de produção da organização. formulários. não é possível tomar boas decisões sobre segurança. programas objeto. computadores pessoais. arquivados off-line. Considerações Importantes O domínio das ferramentas de proteção disponíveis no mercado aliado a uma consistente análise dos riscos constituem a base para a formação de um sólido programa destinado à segurança institucional dos dados de uma organização e irá determinar quão segura é a rede de comunicação e os dados nela residentes. tal como as pessoas que de fato usam os sistemas. • • • • • Software: programas fonte. deve preocupar-se com as funcionalidades que irá manter e qual será a facilidade de utilizá-las. . local. sem antes determinar quais são as suas metas de segurança. linhas de comunicação. backups.2. roteadores. procedimentos 3. discos. Identificação dos Recursos O primeiro passo de uma análise de risco é a identificação de todos os elementos que necessitam de proteção. Conforme sugerido por Pfleeger (Pfleeger. 3. Alguns são óbvios. bancos de dados e mídia de comunicação. fitas e mídia magnéticas. O ponto de partida é a lista de todos as partes que podem ser afetadas por um problema de segurança.9.9. programas. administradores e suporte de hardware. impressoras. drives. logs de auditoria. 1989). armazenados on-line. a seguir está uma lista de categorias: • Hardware: CPUs.29 riscos por nível de severidade. No entanto. boards. e Materiais: papel. sendo assim.3. programas de diagnóstico.

3. . ambientes e pessoas. e facilidade de uso. Requerer senhas one-time geradas por dispositivos. perda de dados (corrupção ou deleção de informações). Definir responsabilidades para implementação e manutenção de cada proteção. chamado de Política de Segurança. mas bastante mais seguro. impossibilidade de acesso à rede). metas e regras devem ser comunicados indistintamente a todos os usuários. Demonstrar os riscos e ameaças que está combatendo e as proteções propostas. desta forma.Cada serviço oferecido para os usuários carrega seu próprio risco de segurança. Premissas Básicas Uma política de segurança deve ser elaborada visando toda a organização a que se prestará e suas concepções institucionais.4. Solicitar senhas torna o sistema um pouco menos conveniente. performance (tempo de cifragem e decifragem). Para alguns serviços. e geradores de senha one-time). o risco é superior ao benefício do mesmo. e • Custo da segurança versus o risco da perda . e a perda de serviços (ocupar todo o espaço disponível em disco. • Facilidade de uso versus segurança . Há também muitos níveis de risco: perda de privacidade (a leitura de uma informação por indivíduos não autorizados). e gerentes através de um conjunto de regras de segurança.9.O sistema mais fácil de usar deveria permitir acesso a qualquer usuário e não exigir senha. Descrever o programa geral de segurança da rede. dados. pessoal operacional. necessita observar alguns princípios elementares elencados a seguir: • • • • Apoiar-se sempre nos objetivos da organização e nunca em ferramentas e plataformas.30 Uma política de segurança deve nortear seus objetivos a partir das seguintes considerações: • Serviços oferecidos versus segurança fornecida . isto é. não haveria segurança. Os objetivos. e o administrador deve optar por eliminar o serviço ao invés de tentar torná-lo menos inseguro. Cada tipo de custo deve ser contrabalançado ao tipo de perda. mas mais seguro.Há muitos custos diferentes para segurança: monetário (o custo da aquisição de hardware e software como Firewalls. torna o sistema ainda mais difícil de utilizar.

. • • • • Descrição dos procedimentos para fornecimento e revogação de privilégios. Determinação da gerência específica e responsabilidades dos envolvidos no controle e manuseio do ambiente operacional. Suporte técnico. quem as aprovou.6. Administrador de segurança do site. e Descrição dos procedimentos para os casos de exceção. e Definir sanções e penalidades. Principais Atores Para que uma política de segurança se torne apropriada e efetiva. Conteúdo Essencial Como instrumento de caráter institucional. Identificação dos recursos que se quer proteger e que software são permitidos em quais locais. É especialmente importante que a gerência corporativa suporte de forma completa o processo da política de segurança. para que o documento seja utilizado como prova se ocorrer alguma violação. uma política de segurança deve apresentar em seu contexto. A seguinte lista de indivíduos deve estar envolvida na criação e revisão dos documentos da política de segurança: • • • Representante da administração superior da organização. 3. • Identificação precisa de quem desenvolveu as orientações. caso contrário haverá pouca chance que ela tenha o impacto desejado. e quem é afetado pelas orientações. no mínimo.5. 3.9. quem detém privilégios e determina autorizações.31 • • Definir normas e padrões comportamentais para usuários.9. ela deve ter a aceitação e o suporte de todos os níveis de empregados dentro da organização. os seguintes elementos: • Justificativa da importância da adoção dos procedimentos de segurança explicando-os junto aos usuários para que o entendimento dos mesmos leve ao comprometimento com todas as ações de segurança. informação de violação de segurança.

Ser implementada por meio de ferramentas de segurança quando apropriado. adição de novos softwares. logs de atividades. através da especificação de linhas de conduta dos usuários. Deve especificar a capacidade de auditoria. mensagens de conexão devem oferecer aviso sobre o uso autorizado e monitoração de linha. Conter a indicação de uma política de privacidade que defina expectativas razoáveis de privacidade relacionadas a aspectos como a monitoração de correio eletrônico. o que fazer e a quem contatar se for detectada uma possível intromissão). Possuir definições claras das áreas de responsabilidade para os usuários. pessoal e gerentes. e oferecer a conduta no caso de incidentes (por exemplo. . e não simplesmente welcome). Possuir guias para a compra de tecnologia computacional que especifiquem os requisitos ou características que os produtos devem possuir. e acesso aos arquivos dos usuários. conexão de dispositivos a uma rede. • Definir uma política de contabilidade que indique as responsabilidades dos usuários. Representantes de todos os grupos de usuários afetados pela política de segurança. Administradores de grandes grupos de usuários dentro da organização. Vários fatores podem trazer efetividade para uma política de segurança. comunicação de dados. Possuir regras de uso aceitáveis. destacam-se: • • • • • • Ser implementável por meio de procedimentos administrativos anteriormente instituídos. Ela deve oferecer linhas de condutas para conexões externas. Também deve especificar quaisquer mensagens de notificação requeridas (por exemplo. e Help-Desk. • Discriminar uma política de acesso que defina os direitos e os privilégios para proteger a organização de danos. dentre outros. entre outros.32 • • • • Desenvolvedores de softwares. administradores e gerentes. e aplicar sanções onde a prevenção efetiva não for tecnicamente possível.

Uma política deve ser . devem manipular e acessar a tecnologia. Deve-se criar um documento que os usuários assinem. a política deve ser revisada por um conselho legalmente instituído para tal fim. Os criadores da política devem considerar a busca de assistência legal na criação da mesma. a política deve ser claramente comunicada aos usuários. através da linha de conduta para autenticação de acessos remotos e o uso de dispositivos de autenticação. Finalmente sua política deve ser revisada regularmente para verificar se está suportando com sucesso suas necessidades de segurança. afirmando que leram. é necessária bastante flexibilidade baseada no conceito de segurança arquitetural. Ele também deve incluir informações para contato para relatar falhas de sistema e de rede. Esta é uma parte importante do processo. e • Oferecer aos usuários informações sobre como agir na ocorrência de qualquer tipo de violação.7. Outra área para considerar é a terceirização e como ela é gerenciada.33 • Viabilizar uma política de autenticação que estabeleça confiança por meio de uma política efetiva de senhas. tanto o pessoal de manutenção interno como externo. • Definir um relatório de violações que indique quais os tipos de violações devem ser relatados e a quem estes relatos devem ser feitos. Flexibilidade No intuito de tornar a política viável a longo prazo. bem como especificar horários de operação e de manutenção. pessoal e gerentes. 3. Ele deve endereçar aspectos como redundância e recuperação. Uma vez estabelecida. • Possuir um documento de disponibilidade que defina as expectativas dos usuários para a disponibilidade de recursos. entenderam e concordaram com a política estabelecida (vide Anexo II). • Definir uma tecnologia de informação e política de manutenção de rede que descreva como.9. Uma atmosfera de não ameaça e a possibilidade de denúncias anônimas irá resultar em uma grande probabilidade de uma violação ser relatada. Pode haver requisitos regulatórios que afetem alguns aspectos de uma política de segurança tal como a monitoração. Um tópico importante a ser tratado aqui é como a manutenção remota é permitida e como tal acesso é controlado. No mínimo.

em sistemas com um usuário root. Por exemplo. os usuários só podem acessá-los se estes forem fundamentais para o desempenho satisfatório de suas funções na instituição. Os mecanismos para a atualização da política devem estar claros. diferentes tipos de informação devem ser protegidos de diferentes maneiras. informações divulgadas à imprensa ou pela internet 2) Internas ou de uso interno: as informações e os sistemas assim classificados não devem sair do âmbito da instituição. 3) Confidenciais: informações e sistemas tratados como confidenciais dentro da instituição e protegidos contra o acesso externo. informações sobre vulnerabilidades de segurança dos sistemas institucionais.9. Exemplo: Dados pessoais de clientes e funcionários. Também pode haver casos em que múltiplos usuários terão acesso à mesma userid. sob que condições um administrador de sistema tem direito a pesquisar nos arquivos do usuário. contratos . Isto inclui o processo e as pessoas envolvidas. causar danos financeiros ou perdas de fatias do mercado para o concorrente.8. Sempre que possível a política deve expressar quais expectativas foram determinadas para a sua existência. as conseqüências não serão críticas. O acesso a estes sistemas e informações é feito de acordo com sua estrita necessidade. Porém. . Exemplo: serviços de informação ao público em geral. escolhendo mecanismos de segurança mais adequados. Exemplo: Serviços de informação interna ou documentos de trabalho corriqueiros que só interessam aos funcionários. Por isso a classificação das informações é um dos primeiros passos para o estabelecimento de uma política de segurança de informações. Classificação das Informações Segundo Claudia Dias (Dias. Um vez classificada a informação. Por exemplo. múltiplos administradores de sistema talvez conheçam a senha e utilizem a conta. se isto ocorrer. senhas. 2000). a política pode definir como tratá-la de acordo com sua classe. Também é importante reconhecer que há expectativas para cada regra. 3. A classificação mais comum de informações é aquela que as divide em 04 níveis: 1) Públicas ou de uso irrestrito: as informações e os sistemas assim classificados podem ser divulgados a qualquer pessoa sem que haja implicações para a instituição. O acesso não autorizado a esses dados e sistemas pode comprometer o funcionamento da instituição. isto é.34 largamente independente de hardware e software específicos. balanços entre outros.

como aos usuários que precisam utilizar esses recursos. Exemplo: Informações dos contribuintes. O gerenciamento de risco é o processo de identificação. é preciso inicialmente identificar as ameaças e os impactos. as vulnerabilidades e conseqüentemente os impactos. de forma a proporcionar a adoção de medidas apropriadas tanto às necessidades de negócio da instituição ao proteger seus recursos de informação. Os riscos podem apenas ser reduzidos. declarações de imposto de renda. A análise de risco é o ponto chave da política de segurança englobando tanto a análise de ameaças e vulnerabilidades quanto a análise de impactos. Se combater uma ameaça for mais caro do que seu dano potencial.35 4) Secretas: o acesso interno ou externo de pessoas não autorizadas a este tipo de informação é extremamente crítico para a instituição. vulnerabilidades e impactos em um determinado ambiente. talvez não seja aconselhável tomar quaisquer medidas preventivas neste sentido. controle e minimização ou eliminação dos riscos de segurança que podem afetar os sistemas de informação a um custo aceitável (ISO/IEC 17799:2000).9.9. nível de proteção e facilidade de uso. a qual identifica os componentes críticos e o custo potencial aos usuários do sistema. A quebra de segurança sempre poderá ocorrer. É imprescindível que o número de pessoas autorizadas seja muito restrito e o controle sobre o uso dessas informações seja total. tais como ameaças. já que é impossível eliminar todos. Na verdade. Conhecer com antecedência as ameaças aos recursos informacionais e seus impactos pode resultar em medidas efetivas para reduzir as ameaças. levando em consideração justificativas de custos. classificando-os por nível de importância e severidade da perda. risco é uma combinação de componentes. e os custos envolvidos na sua prevenção ou recuperação. Muitas vezes o termo risco é utilizado como sinônimo de ameaça ou da probabilidade de uma ameaça ocorrer. impactos e vulnerabilidades das informações e das instituições de processamento das mesmas e da probabilidade de sua ocorrência. determinar a probabilidade de uma ameaça se concretizar e entender os riscos potenciais. Para tomar as devidas precauções. 3. . Análise de Riscos Análise de riscos é a análise das ameaças.

1. Quando um arquivo de programa está infectado com vírus é executado e o vírus imediatamente assume o comando. Worms e Trojans Segundo o CSI/FBI Computer Crime and Security Survey. e Sua habilidade de replicação é limitada aos sistema virtual. os vírus estão em primeiro lugar entre as principais ameaças à segurança da informação no ano de 2001. Os códigos de vírus procuram entre os arquivos dos usuários.36 3. assim como os vírus. não necessitam se atracar a um programa ou arquivo “hospedeiro”. através de e-mails ou disquetes contaminados. algumas das quais os diferenciam dos vírus. Podem ser inseridos por hackers que entram no sistema e plantam o vírus. a replicação ocorre através dos links de comunicação. São entidades autônomas. circulam e se multiplicam em sistemas multi-tarefa. encontrando e infectando outros programas e arquivos. Para worms de rede. Ele infecta o arquivo colocando nele parte de um código. Os vírus podem ser inofensivos (apenas mostram uma mensagem ou tocam uma música). A seguir estão algumas características de um vírus: • • • • Consegue se replicar. que são programas projetados para replicação e possuem as seguintes características. ou nocivos apagando ou modificando arquivos do computador. Na mesma categoria dos vírus. estão os warms. • • • • Eles se replicam.9.9. É ativado por uma ação externa. ao contrário dos vírus. programas executáveis sobre os quais os usuários têm direito de escrita. Riscos Externos Relacionados a seguir estão alguns tipos de riscos externos aos quais freqüentemente as organizações estão sujeitas: Vírus. . Precisa de um programa “hospedeiro” portador’. Residem.

Modificação e Fabricação Tampering ou Data Diddling. Este método é utilizado para intercessão de logins e senhas de usuários. fazendo download para a sua própria máquina. A utilização de cavalos de Tróia está dentro desta categoria para tomar controle remoto dos sistemas vítimas. Quando o programa é rodado. escolas. pois o atacante se apossa de documentos que trafegam na rede. interceptando e-mails e outros tipos de informações. Geralmente são espalhados por e-mails. Com um software instalado em um sistema o atacante modifica ou apaga arquivos. invasão de outros computadores ou até um terceiro. Intercessão Eavesdropping e Packet Sniffing . ou ainda outros de forma que oculte sua identidade. .37 O Trojan (Cavalos de Tróia) é um código escondido em um programa. Snoofing e Downloading . autarquias fiscais. bem como em roteadores ou gateways. Na Web há inúmeros exemplos de home pages invadidas para colocação de slogans ou marcas de presença. Esta categoria trata da modificação não autorizada de dados. danificando ou alterando informações por trás.São intercessões de pacotes no tráfego para leitura por programas de usuários não legítimos. que são camuflados com esta finalidade Spoofing . Esta forma de looping torna muito difícil a sua identificação. A base desta atuação é tomar posse do logins e senhas das vítimas. tal como um jogo ou uma tabela que tem a aparência de seguro. números de cartões de crédito e direcionamento das trocas de e-mails estabelecendo as relações entre indivíduos e organizações. e outros tipos de bancos de dados. O sniffer pode ser colocado na estação de trabalho conectada à rede. É um programa em si mesmo e não requer um “hospedeiro” para carregá-lo.São intercessões do mesmo tipo do sniffer sem modificação do conteúdo dos pacotes embora a ação seja diferente. mas possui efeitos escondidos.Esta técnica consiste em atuar em nome de usuário legítimo para realizar tarefas de tampering ou snoofing. mas na verdade está destruindo. Entre as vítimas estão bancos. parece funcionar como o usuário esperava. Entre os programas mais comuns estão o Back Orifice e o NetBus. Uma das formas pode ser o envio de e-mail falso em nome da vítima.

. Um bom exemplo de ataque de engenharia social é o de ligar para um setor de informática de uma corporação. O sistema responde as mensagens.38 Interrupção Jamming ou Flooding. São interrupções do funcionamento do sistema através da saturação de dados. mas como não recebe as respostas acumula o buffer com informações em aberto. Muitas vezes o hacker. consegue através deste telefonema. Bombas Lógicas . pode ser espaço de um disco ou envio de pacotes até a saturação do tráfego da rede vítima impossibilitando-a de receber os pacotes legítimos. Outros ataques comuns são “ping da morte” e a saturação de e-mails. dizendo ser um novo funcionário de um determinado setor e dizer que precisa de um username e senha para acesso ao sistema. A melhor defesa contra este ataque é o treinamento dos funcionários e usuários de redes e computadores. o hacker tem que conhecer o nome de um usuário do sistema que esteja há muito tempo sem utilizá-lo. Engenharia Social Este mecanismo de recolhimento de informações é uma das formas mais perigosas e eficientes utilizada pelos hackers. Uma forma mais fácil ainda é de ligar para o setor de informática dizendo ser “o fulano de tal” que esqueceu a senha. não dando lugar às conexões legítimas. a obtenção de informações através de engenharia social ainda é utilizada com muito sucesso em diversas organizações e seu sucesso depende exclusivamente do conhecimento do pessoal em assuntos de redes e computadores. Variando muito de organização para organização. Claro que desta forma. e gostaria que a senha fosse trocada.O ataque consiste em programas sabotadores introduzidos nas máquinas das vítimas com intuito de destruir as informações ou paralisá-las. o username e a senha necessários para o início de seu ataque. O atacante satura o sistema com mensagens de que querem estabelecer conexão através de vários computadores com a vítima e ao invés de indicar a direção do IP dos emissores estas direções são falsas.

2. e Inserindo dados incorretamente. Os empregados descuidados geralmente não tem intenção de causar nenhum dano ao sistema. 3. A melhor ação a ser tomada é ter em vigor um plano de recuperação de desastres. é necessário implementar defesas contra eles. mas podem apagar arquivos importantes. Não se podem prever ou evitar os desastres naturais tais como enchentes. das seguintes formas: • • • • • Modificando ou apagando dados. raios. Segundo o 2001 CSI/FBI Computer Crime and Security Survey.9. . lugar: Penetração externa no sistema. Destruindo dados ou programas com bombas lógicas. Os riscos pessoais podem ser causados por empregados insatisfeitos ou apenas descuidados. estragar um computador pelo mal uso. lugar: Roubos de notebooks 4o. lugar: Vírus de computador 2o. as principais ameaças à segurança da informação no ano de 2001 foram: 1o. lugar: Uso interno indevido do acesso à rede 3o. que podem causar sérios danos aos sistemas de computação.10. ou incêndios. Derrubando os sistemas. Destruindo os equipamentos ou instalações. lugar: Acesso interno não autorizado 5o. Análise de Ameaças Antes de decidir como proteger um sistema é necessário saber contra o que ele será protegido. desastres naturais e pessoas. acessar informações indevidas e entrar informações incorretas no sistema. Os empregados insatisfeitos podem tentar sabotar o sistema de informação.9.39 3.2. Riscos Internos Os riscos internos são decorrentes de duas fontes principais. Contudo.

as ameaças consideradas mais comuns em um ambiente informatizado são: • • • • Vazamento de informações (voluntário ou involuntário) – informações desprotegidas ou reveladas a pessoas não autorizados. erros de programação.impedimento deliberado de acesso aos recursos computacionais por usuários não autorizados. Depende da probabilidade de uma ameaça atacar o sistema e do impacto resultante deste ataque. podendo ser recurso físico. fraude. e Acesso e uso não autorizado . Violação de integridade .40 Segundo Claudia Dias (Dias. Indisponibilidade de serviços de informática . espionagem. Iindependentemente do tipo. entre outros). • • • • • Ameaça é tudo aquilo que pode comprometer a segurança de um sistema. sabotagem. software. 2000) a análise das ameaças e vulnerabilidades do ambiente de informática deve levar em consideração todos os eventos adversos que podem explorar as fragilidades de segurança desse ambiente e acarretar danos. erros do usuário.um recurso computacional é utilizado por pessoa não autorizada ou de forma não autorizada. Vulnerabilidade: fraqueza ou deficiência que pode ser explorada por uma ameaça. Ataque: ameaça concretizada. É o resultado da concretização de uma ameaça. invasão de hackers. Impacto: conseqüência de uma vulnerabilidade do sistema ter sido explorada por uma ameaça. Risco: medida de exposição a qual o sistema computacional está sujeito. Alguns conceitos importantes para se realizar uma análise de ameaças são: • Recurso: componente de um sistema computacional. Pode ser associada à probabilidade da ameaça ocorrer. bugs de software) ou deliberada (roubos. desastres naturais. podendo ser acidental (falha de hardware. hardware ou informação. .comprometimento da consistência de dados. Probabilidade: chance de uma ameaça atacar com sucesso o sistema computacional.

interagem entre si. O recurso são os instrumentos disponíveis à governabilidade de TI. No atual estágio do desenvolvimento da tecnologia de informação composta por pessoas. dando-lhe suporte na monitoração. Isto a faz a principal auxiliar na administração de um sistema de dados. pois a eficácia administrativa está no domínio destes conhecimentos continuamente adquiridos. 2000). a fim de alcançar os objetivos de receber e distribuir pecúlio às outras secretarias. na aquisição e implementação e na distribuição e suporte (CobiT. será baseado na tecnologia de auditoria CobiT. a confidencialidade. físicos e humanos em uma entidade a fim de garantir na informação: a eficiência. A metodologia de auditoria para que as Secretarias de Receita desenvolvam uma Governança de TI. dados. tecnológicos. sistemas de aplicativos. a efetividade. máquinas e ambiente que além de complexos.41 3. . o próprio processo se transforma antes mesmo de se ter um conhecimento profundo de suas etapas. no planejamento e organização. a integridade.11. a confiabilidade e o cumprimento dos objetivos estabelecidos. Auditoria A auditoria envolve o exame de recursos: lógicos. A informação é o conteúdo que estabelece os critérios de qualidade para o negócio das Secretarias de Receita. aumentado assim sua vulnerabilidade.9. como meio de desenvolver este conceito. a disponibilidade. o recurso e a informação. A prática da auditoria é o meio fundamental para acompanhar este dinamismo e reduzir os riscos nas etapas atuais e futuras. O domínio é a metodologia empregada. A Governança de TI se alicerça em três pilastras: o domínio.

é geralmente chamado de desastre. z=Recursos de Tecnologia da Informação. Para evitar possíveis contingências e desastres ou minimizar os danos que eles causam. Plano de Contingência Contingência de segurança computacional é um evento com potencial para interromper operações computacionais. Desastres técnicos (panes). de continuidade do negócio.42 Figura 3 .Metodologia CobiT Dimensionamento da Auditoria: x=Domínio. ou de . e consequentemente as missões críticas e funções dos negócios. De forma geral. incêndio ou tempestade. Tais eventos podem ser uma queda de energia. e Desastres relacionados a seres humanos (comportamento). falha de hardware. y=Informação. três categorias de desastres podem afetar as organizações: • • • Desastres naturais (eventos). de continuidade das operações. t= Objetivo do negócio. x* y* z= Governança de TI (figura baseada na metodologia CobiT de Auditoria) 3.9.12. as organizações podem tomar medidas de precaução para controlar o evento. Se um evento for muito destrutivo. Geralmente chamada de Plano de Contingência (também conhecido como plano de recuperação de desastre.

ou seja. d) Selecionar as estratégias do plano de contingência. c) Priorizar as funções críticas para manter a empresa em funcionamento. um bom plano deve ser atualizado anualmente ou conforme a necessidade da empresa/organização. d) Verificar quais recursos financeiros estão disponíveis para o realizar o plano que for necessário. Os seguintes passos devem ser seguidos no processo de elaboração de um plano de contingência: a) Identificar as funções críticas da organização.43 retomada do negócio). f) Evitar um ponto único de falha para que o sucesso ou falha do plano inteiro não deve ficar sob a responsabilidade de uma única pessoa. Os planos de contingência devem ser desenvolvidos e implementados para garantir que os processos do negócio possam ser recuperados no tempo devido. é crucial que se observem os seguintes elementos-chave: a) Obter o apoio da alta diretoria. Deve haver uma cadeia de comando. b) Possuir um objetivo claro que defina exatamento o que o plano vai realizar. Tais planos devem ser mantidos e testados de forma a se tornarem parte integrante de todos os outros processos gerenciais (ISO/IEC 17799:2000). e) Definir claramente as responsabilidades de todos os envolvidos estabelecendo antecipadamente quem é o responsável por cada tarefa de recuperação e exatamente o que essa responsabilidade significa. e f) Testar e revisar a estratégia. e g) Ter flexibilidade. descrevendo quem assume o controle por alguém se um funcionário morrer ou tornar-se inapto para desempenhar suas tarefas. esta atividade está intimamente ligada ao manejo de incidentes. c) Antecipar potenciais contingências ou desastres. O objetivo do Plano de Contingência é não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de grandes falhas ou desastres (ISO/IEC 17799:2000). b) Identificar os recursos que dão suporte às funções críticas. . que primeiramente trata ameaças técnicas maliciosas tais como hackers e vírus. e) Implementar as estratégias de contingência. Para a elaboração de um plano de contingência eficaz.

b) Implementação dos procedimentos de emergência que viabilizem a recuperação e restauração nos prazos necessários. Seja qual for o tipo de instalação. tal como usar um hot site como backup caso uma instalação redundante seja destruída por uma outra contingência. d) Treinamento adequado da equipe nos procedimentos e processos de emergências definidos. incluindo a gerência de crise. ou híbrida a equipe de suporte precisa estar apta a preencher as seguintes funções: . Retomada é o retorno às operações normais. Acordo de reciprocidade – Um acordo que permite que duas organizações apoiem uma a outra.44 De acordo com a ISO/IEC 17799:2000. o processo de planejamento da continuidade do negócio deve considerar os seguintes itens: a) Definição e reconhecimento de todas as responsabilidades e procedimentos de emergência. Especial atenção deve ser dada à análise de dependência de recursos e serviços externos aos negócios e aos contratos existentes. Site redundante – Um local equipado e configurado exatamente como o primeiro. quente. Recuperação refere-se aos passos tomados para continuar o suporte às funções críticas. recuperação e retomada. c) Documentação dos processos e procedimentos definidos. Híbridas – Qualquer combinação acima. e) Teste de atualização dos planos. A resposta de emergência aborda as ações iniciais tomadas para proteger vidas e limitar danos. A estratégia utilizada para possibilitar a capacidade de processamento está agrupada nas seguintes categorias: • • • • • Hot site (instalações quentes) – Um prédio equipado de antemão com capacidade de processamento e outros serviços. De acordo com o NIST Handbook a estratégia de um plano de contingência consiste de três partes: resposta de emergência. fria. Cold site (instalações frias) – Um prédio para abrigar processadores que podem ser facilmente adaptados para uso.

3.10.10. autenticidade e integridade das informações. somente depois da Segunda Guerra Mundial. FERRAMENTAS DE SEGURANÇA Com base no levantamento dos riscos. 3. são usados para diferentes aplicações e deve-se analisar qual é o melhor para cada caso. com a invenção do computador.1. O trabalho criptográfico formou a base para a ciência da computação moderna. Baseado na análise de risco. Para que uma mensagem seja cifrada utilizam-se uma ou mais chaves (seqüência de caracteres) que serão embaralhadas com a mensagem original. quanto como uma unidade operacional. e Armazenar backups de dados e a biblioteca de software.10. apresentamos a seguir algumas das ferramentas de segurança mais freqüentemente utilizadas. Algoritmos Criptográficos Existem dois tipos básicos de algoritmos criptográficos que podem ser utilizados tanto sozinhos como em combinação. Contudo. A criptografia é tão antiga quanto a própria escrita. Criptografia A criptografia tem como objetivo. o uso da criptografia tomou maior impulso em seu desenvolvimento. 3. Estas chaves devem ser . chave única e chave pública e privada. ameaças e vulnerabilidades que podem afetar a segurança das informações.1. Técnicas e sistemas criptográficos devem ser usados para a proteção das informações que são consideradas de risco e para aquelas que os outros controles não fornecem proteção adequada. Estes algoritmos. Os romanos utilizavam códigos secretos para comunicar planos de batalha. o nível apropriado de proteção deve ser identificado levando-se em conta o tipo e a qualidade do algoritmo criptográfico usado e o tamanho das chaves a serem utilizadas (ISO/IEC 17799:2000).1.45 • • • Armazenar cópias do plano contra desastres da empresa. Permitir que sua empresa funcione tanto como uma unidade administrativa. proteger a confidencialidade.

Criptografia Simétrica A Criptografia Simétrica consiste em transformar. Para quem desconhece a chave K é computacionalmente difícil obter-se y a partir do conhecimento de x se o algoritmo for bem projetado. o sistema usa a mesma chave tanto para a cifragem como para a decifragem dos dados. 3.10.National Bureau of Standards) lançou em 1997 uma competição aberta para o sucessor do DES. O primeiro tipo de algoritmo que surgiu foi o de chave única.46 mantidas em segredo. Vistos os anúncios da possibilidade do cálculo da chave secreta do DES por força bruta estarem sendo cada vez mais viáveis economicamente em função inclusive do tamanho desta chave (56 bits). Projetado para ser implementado em componentes de hardware. se for seguro.2. Algoritmos de Chave Simétrica DES (Data Encryption Standard) . produzido por dois Belgas. a NIST (National Institute of Standards in Technology antiga NBS . no qual um bloco de dados é criptografado três vezes com diferentes chaves. Nesta competição foram apresentadas 18 propostas. DES Triplo (Triple DES) . ele é relativamente rápido e é usado com freqüência para criptografar grandes volumes de dados de uma só vez.10. isto é. a qual deve ser utilizada no algoritmo inverso f –1 (y).1. sendo que das cinco finalistas foi escolhido. incluindo a SSL (Secure Sockets Layer) e a maioria das alternativas mais seguras do IP. O DES é usado em muitas aplicações mais seguras da Internet.3. .Uma cifra de bloco criada pela IBM e endossada pelo governo dos Estados Unidos em 1977.em um texto ilegível (informação criptografada) – y – O texto y é transmitido para o destino onde y é decriptografado pelo algoritmo inverso f –1 (y) obtendo-se o texto legível – x – se e só se o destinatário conhece a chave K. pois somente com o conhecimento delas é que se poderá decifrar a mensagem. chamado AES – Advanced Encryption Standard. entre duzentos. o algoritmo de criptografia Rijndael. também chamado de algoritmo de chave simétrica. O DES utiliza uma chave de 56 bits e opera em blocos de 64 bits.1. 3. e esta deve ser mantida em segredo.O DES triplo é uma evolução do DES. Neste. utilizando-se uma chave K e uma função y=f(x). um texto legível (informação aberta) – x .

o RC2 é aproximadamente 2 vezes mais rápido do que o DES.1. visto que alguns observadores temiam que essa mudança poderia introduzir uma armadilha e poderia permitir que um atacante decifrasse mensagens criptografadas pelo DES sem testar todas possíveis chaves. 3. cartões inteligentes. RC2 e RC4 . pois ambos são cifras de bloco. sendo que o mesmo algoritmo é usado para cifrar e decifrar os textos. softwares de computador e browsers. Pode ser usado como substituto do DES.) projetou essas cifras com tamanho de chave variável para proporcionar uma criptografia em alto volume que fosse muito rápida. pois se um terceiro elemento não autorizado tiver acesso à chave poderá comprometer a segurança atribuída pela criptografia. Em softwares. Os S-boxes são tabelas não-lineares que determinam como o algoritmo de criptografia substitui bytes por outros. basicamente. que deve ser divulgada entre as partes de forma sigilosa.Ron Rivest da RSA DSI (Data Security Inc. ao passo que o RC4 é 10 vezes mais rápido que o DES.4. É bastante forte e resistente a várias formas de criptoanálise.10. mas deve ser conhecido pelas partes de uma comunicação) e um par de chaves (conhecidas como chave privada e chave pública) e que tem. O IDEA (International Data Encryption Algorithm) foi criado em 1991. Como solução para tal situação temos o algoritmo de chaves assimétricas. enquanto o DES foi projetado principalmente para hardware Outro problema do DES foram as mudanças propostas pela NSA nas S-Boxes do algoritmo original (Lucifer). 192 e 256 bits ou maiores e ser executado eficazmente em um grande número de ambientes. as seguintes premissas: . Opera com blocos de textos em claro no tamanho de 64 bits e possui uma chave de 128 bits. sendo projetado para ser facilmente calculado em softwares. Esta solução é composta basicamente de um algoritmo de criptografia e de decriptografia (o qual pode ser ou não de conhecimento público. Criptografia Assimétrica O problema da criptografia simétrica é que as partes na comunicação devem conhecer a mesma chave.47 Algumas das vantagens do AES são: poder usar chaves de 128.

. como por exemplo A e B. geralmente. Por isso. algoritmos assimétricos são utilizados apenas para estabelecer sessão e a troca. de uma chave simétrica. visto que pode ser “quebrado” por um intruso que capta toda a troca de informações. criado antes do RSA. De pose da chave pública de B. teoricamente.10. Um dos parâmetros para se medir a resistência de um algoritmo é o tamanho de suas chaves. e modificado posteriormente. Se A deseja enviar a B. o que torna muito lenta a cifragem e decifragem de uma grande quantidade de dados. maior a resistência do algoritmo contra ataques. maior o número de possíveis combinações e. 3. Algoritmos assimétricos (ou de chave pública e privada) são muito complexos sendo que as chaves utilizadas são números primos entre si e de valores muito grandes.5.1. Dessa forma a comunicação entre duas partes. ele solicita a chave pública de B. Uma chave não pode ser descoberta a partir da outra (mesmo conhecendo o algoritmo de criptografia e de decriptografia e tendo a informação criptografada). de forma confiável. é feita como se segue: • • • • Tanto A quanto B possuem. A criptografa a informação com essa chave e envia a B. um par de chaves (pública e privada).48 • • A informação criptografada por uma chave só pode ser decriptografada pela outra. e A mensagem criptografada com a chave pública de B só pode ser decriptografada pela chave privada de B. Algoritmos de Chave Assimétrica Dentre os diversos algoritmos de chave assimétrica destacam-se: Diffie-Hellman – Protocolo para troca de chaves. entre as partes envolvidas na comunicação. e • A chave pública de uma entidade é amplamente divulgada sendo que a chave privada só é de conhecimento da mesma. cada um. Quanto maior o número de bits das chaves.

2. É considerado mais seguro que o MD5. Um dos fatores que determinam a popularidade do RSA é o fato de ele também poder ser usado para assinatura digital (ver 3. que é um aprimoramento do MD4.6. Consiste de algoritmos que utilizam chaves privada e pública para.1. procedência e conteúdo das informações. A segurança do RSA está baseada no problema de fatorar números grandes. Baseado na dificuldade computacional de se fatorar um número inteiro muito longo (por exemplo 512 bytes de tamanho) em dois números primos. Similar ao RSA mas é um algoritmo probabilístico. Algoritmos para Geração de Assinatura Digital. Miller e Rabin – Outro algoritmo de criptografia assimétrica muito usado. porém tem uma performance em média 50% inferior. baseado na troca de chaves criptografadas. mas é considerado um algoritmo bastante rápido além de seguro. a partir de um texto legível de tamanho m.10. .É um algoritmo criado e patenteado pela RSA Data Security Inc.10. também usado para gerar assinaturas digitais de 128 bits para mensagens de qualquer tamanho.. porém com uso liberado para quaisquer aplicações. etc. Os algoritmos mais conhecidos são o MD5 (Message Digest 5).49 RSA . O RSA é um algoritmo que gera assinaturas digitais de 160 bits para mensagens de qualquer tamanho. no sentido de que se pode concluir falsamente que o número inteiro é primo mas com baixa probabilidade. Tal função em um algoritmo assimétrico é conhecida como função de Hash ou de Espalhamento.) na Internet. computador.2 – PKI). A segurança do RSA está baseada no problema de fatorar números grandes. gerar uma informação criptografada de tamanho n onde n é muito menor que m. Uma PKI é utilizada para prover a identificação de uma entidade eletrônica (usuário. 3. e o RSA.10. 3. PKI (Public Key Infrastructure) É o processo de certificação digital que possibilita a identificação inequívoca da identidade.

br Figura 4 . chave pública (ver criptografia assimétrica) e outros dados de um usuário. Revogação: um certificado não pode ser apagado ou reutilizado.Funcionamento do Processo Real-time Online Certificate Status Checking: . o qual possui o nome. distribuir e revogar certificados digitais. Neste caso a chave somente pode ser utilizada quando o token for inserido no computador (um exemplo é o smart card).(Certificate Authorities – Autoridade Certificadora) : Responsável por criar.df. Quando o mesmo não é mais válido é marcado pela CA como revogado.50 A identificação digital de um usuário é chamada de Certificado Digital.sef.Autoridade Registradora): Registra novos usuários.gov. RA . Uma PKI é composta dos seguintes componentes: • • CA . As chaves privadas são armazenadas em um hard disk ou em um Token. CA 3 – Checando e Validando 1 – Certificado Emitido Usuário 2 – Certificado Enviado www. Validação: verificação se o certificado está ou não expirado e se as informações nele são verdadeiras. Os usuários da PKI podem descobrir o status atual de um certificado digital utilizando o processo Real-time Online Certificate Status Checking. Podemos citar ainda outros conceitos utilizados em PKI: • • • Certificação: é o processo de associação de uma chave pública a um usuário. É usado para validar uma assinatura digital que pode ser anexada a um e-mail ou formatos eletrônicos.(Registration Authorities .

É um dos elementos utilizados para segmentar a rede e criar um perímetro de defesa definido em uma política de segurança. de estar confiando em um certificado que acabou de ser revogado.10.10. a qual é enviada. junto com a mensagem de e-mail e o certificado digital do remetente para o destinatário. impedindo acessos indevidos e ataques.3.2. menos confiável. O firewall oferece um ponto de segurança que pode ser monitorado e. por exemplo. Para criar uma assinatura digital para uma mensagem de e-mail. Firewall Firewall é um sistema baseado em software ou hardware capaz de controlar o acesso entre duas redes ou sistemas. O maior problema das CRLs é o fato de que muitos certificados são revogados por dia. caso apareça alguma atividade suspeita. uma combinação de elementos. que cria a assinatura digital utilizando a chave pública do remetente e compara com a assinatura recebida. 3. 3. Assinatura Digital As assinaturas digitais fornecem os meios para proteção da autenticidade e integridade de documentos eletrônicos (ISO/IEC 17799:2000). seja ela uma intranet ou internet. com o objetivo de oferecer segurança às informações que trafegam na rede.51 Outro modo. Uma empresa pode correr risco. É na verdade. gera um alarme antes que ocorra efetivamente um ataque ou suceda algum problema no trânsito dos dados. pelo fato de possuir uma CRL desatualizada. garantindo assim que uma mensagem não foi falsificada por terceiros. A assinatura digital somente pode ser decriptografada e verificada usando-se a chave pública embutida no certificado digital do remetente. Um dos maiores benefícios do firewall é o de facilitar o trabalho do administrador da rede que consolida a segurança no sistema de firewall evitando distribuir todo um esquema de segurança por cada um dos servidores que integram a rede privativa. . uma cópia da mensagem é criptografada (algoritmo Hash) usando a chave privada (assinatura digital). O firewall de uma rede não é apenas um roteador ou servidor para defesa. de checar o status de um certificado requer que os usuários da PKI façam um download de uma lista de certificados revogados (CRL) pela CA.1.

O roteador examina cada datagrama para determinar se este corresponde a um dos seus pacotes filtrados e se foi aprovado por suas regras de filtro. O roteador toma decisões de recusar ou permitir a entrada de cada um dos pacotes que são recebidos. Vírus passados internamente através de arquivos e softwares. Um firewall não pode proteger a rede contra os seguintes ataques: • • • • Backdoors (portas dos fundos) . Ele pode permitir ou negar um serviço em particular.52 A preocupação principal de um administrador de rede são os múltiplos acessos à Internet que podem ser controlados através do firewall. números de porta UDP origem e destino. números de porta TCP origem e destino. Cada um destes pontos de acesso significa um ponto potencial de ataque à rede interna. e Gateways a nível de circuito. As premissas do sistema de firewall que descrevem a filosofia fundamental da segurança da organização são as seguintes: • • Tudo que não é especificamente permitido. por exemplo. e Possíveis ataques em transferência de dados. os quais devem ser monitorados regularmente.modem conectado à rede interna e à Internet via telefônica. O problema do filtro de pacotes IP é que não pode prover um controle eficiente sobre o tráfego. estado do bit ACK no pacote TCP. De engenharia social. . Quando se avalia um roteador para ser usado para filtragem de pacotes. Um firewall típico se compõe de uma ou mais combinações dos seguintes obstáculos: • • • Roteador filtra-pacotes. mas não é capaz de compreender o contexto todo deste serviço. e direção do fluxo de pacotes. é proibido. Isto ocorre quando aparentemente dados inofensivos são enviados e copiados em um servidor interno e executados despachando um ataque. Tudo que não é especificamente proibido é permitido. Gateways a nível de aplicação. os seguintes critérios devem ser observados: endereços de IP origem e destino.

incluindo pacote. 3. Esta configuração permite ao roteador externo bloquear qualquer tentativa de usar a camada IP subjacente para quebrar a segurança. Eles não podem proteger seu site contra todos os tipos de ataques. assegurando integridade e disponibilidade das informações.10. O gateway de aplicação pode também exercer a função de um servidor proxy o qual é utilizado para concentrar serviços de aplicação através de uma única máquina. Esses programas filtram os acessos a arquivos feitos por outros programas. Mas são apenas uma parte da solução. Softwares de Prevenção Os programas de prevenção permanecem residentes em memória durante todo o período de uso do computador. enquanto permite ao servidor proxy tratar potenciais furos de segurança nos protocolos das camadas superiores.53 O gateway de aplicação pode ser configurado para suportar unicamente as características específicas de uma aplicação que o administrador considere relevantes. atentos para sinais de contaminação ou reprodução do vírus. após a . 3. Anti-Vírus Anti-vírus é um software capaz de detectar e eliminar viroses de computador. Servidores de segurança fazem a verificação do conteúdo de acordo com a definição do usuário. Um dos maiores defeitos dos softwares de prevenção é que a maioria deles não consegue evitar a contaminação do segmento de boot.4. quando o software antivírus nem foi carregado para a memória. Apesar disso. A finalidade do roteador interno é bloquear todo tráfego exceto para o servidor proxy. A razão é simples: a contaminação do segmento de boot acontece durante a inicialização da máquina. O maior esforço atual em técnicas de firewall é encontrar uma combinação de um par de roteadores de filtragem com um ou mais servidores proxy na rede entre dois roteadores.10. Permite uma verificação a nível de camada de aplicação sem requerer um proxy para cada tipo de serviço segurado. O Statefull Inspection é um firewall composto por um filtro de pacotes mais inteligente.4. Os firewalls podem ser uma grande ajuda quando se está implementando segurança em um site e protegem contra uma variedade de ataques.1. negando todas as outras. conexão e informação de aplicação. Conhece os estados de cada comunicação que passa pela máquina do firewall. Eles acompanham todos os processos do sistema.

Depois disso. Se traços de contaminação forem detectados. Os softwares antivírus que usam essa técnica têm sido muito bem sucedidos na identificação de uma grande variedade de vírus digitais.4. .10. 3. Os programas detectam o vírus por meio das pistas deixadas por eles durante a invasão do sistema.4. memória e interrupções do computador).4.10. tentando restaurar seu formato original.2. 3. Uma vez localizado o vírus. a área do disco será identificada e o usuário.4. O vírus será identificado pelo programa que pesquisa no disco rígido a procura de características internas e específicas de cada tipo de vírus nele cadastrado.3. alertado. Os programas de detecção são mais eficazes que os de prevenção e detectam qualquer tipo de vírus. Esse tipo de programa de detecção cadastra todas as informações críticas do sistema na hora da instalação inicial de cada pacote de software. uma verificação rotineira é executada para comparar as informações cadastradas com as atuais. Softwares de Detecção Os programas de detecção baseiam-se no princípio de que uma contaminação pode ser localizada e contida imediatamente após ter ocorrido. Requisitos Básicos de um Antivírus A seguir estão alguns requisitos básicos que um software antivírus deve possuir: • Capacidade de monitorar todo o tráfego de arquivos e informações e o sistema computacional (programas/processos em execução. 3.10.54 inicialização do computador conseguem identificar a contaminação e indicam o procedimento para a remoção do vírus. incluindo o sistema operacional e o segmento de boot. isto é. comparar a imagem do disco original contra a atual. Software de Identificação Esse tipo de programa antivírus somente funciona nos casos em que o vírus que contaminou o sistema é conhecido. o programa efetua uma alteração no arquivo contaminado. A forma mais eficaz de proteção disponível atualmente é alcançada por produtos que usam a técnica que cria uma imagem do disco.

Tomar medidas de prevenção com as seguintes opções de configuração: limpar. • • Detectar e tomar medidas de prevenção contra vírus desconhecidos pela ferramenta antivírus ofertada. renomeado ou aberto. ARJ. • Detectar e tomar medidas de prevenção para todos os tipos de vírus (vírus de inicialização. FTP. . Links dedicados podem ser substituídos pela Internet. “Cavalos de Tróia”. controles Active X. e Opção inteligente para atualização via internet (HTTP e FTP). 3. possibilitando o fluxo de dados através da Internet.5. SMTP ou POP3) e para arquivos e informações provenientes da rede de computadores a qual o equipamento está conectada. para os formatos PKZIP. RAR e CAB. movido.55 • • Capacidade de detectar vírus quando o arquivo estiver sendo executado. sobretudo nos casos em que enlaces internacionais ou nacionais de longa distância estão envolvidos. tornar inacessível o arquivo contaminado ou apenas avisar sobre arquivo infectado. As LANs podem. Esta solução pode ser muito interessante sob o ponto de vista econômico. através de links dedicados ou discados. Oferecer em tempo real para downloads da Internet (via HTTP. no mínimo. vírus de programa. • • • Detectar e tomar medidas de prevenção em arquivos compactados. VPN (Virtual Private Network) Sistema implementado por software ou hardware capaz de assegurar uma conexão de dados segura em meios públicos (como a internet) através de mecanismos de autenticação e criptografia. por outro programa. Uma VPN garante a segurança (modificação e interceptação) de dados transmitidos pela Internet e a redução de custos com comunicação corporativa. Ser ativado/inicializado toda vez que o computador for ligado. vírus polimorfos. conectar-se a algum provedor de acesso local e interligar-se a outras LANs. arquivo local de rede e executável. VB Script e outros códigos). excluir. vírus de macros para arquivos produzidos pelos produtos/softwares do MS-Office. ZIP. applets Java. ZIP2EXE. copiado.10.

toda comunicação ao longo da VPN pode ser criptografada assegurando a confidencialidade das informações. sendo que o primeiro é o mais usado. Um cliente VPN é requerido no equipamento do usuário móvel (alguns sistemas operacionais como o Windows 2000 suportam o protocolo PPTP). Para se implementar uma VPN entre duas redes (ou até mesmo um notebook ou um computador de casa e uma rede LAN) interconectadas através de uma terceira rede (esta pública como a internet ou até mesmo frame-relay. Depois. A estação remota disca para o provedor de acesso. que é a extensão do PPP usado em conexões dial-up tradicionais. . o pacote criptografado é roteado e enviado via internet. A informação enviada entre as redes passa por um gateway VPN que forma o túnel. ATM ou X. conectando-se à Internet e o software de VPN cria uma rede virtual privada entre o usuário remoto e o servidor de VPN corporativo através da Internet. Para a implementação de uma VPN é necessário o uso de Gateway ou roteador VPN (alguns roteadores de borda fazem este papel) que crie o túnel de comunicação segura.25) deve-se utilizar em cada uma um gateway VPN (que inclusive pode ser um software de comunicação ou até o próprio sistema operacional que utiliza protocolo de comunicação que suporta VPN em um notebook por exemplo). por exemplo. restringindo acessos indesejados através da inserção de um servidor VPN entre elas. encapsula e criptografa a informação a nível de rede (padrão atual é IPSEC). O servidor VPN não irá atuar como um roteador entre a rede departamental e o resto da rede corporativa uma vez que o roteador permitiria a conexão entre as duas redes autorizando o acesso de qualquer usuário à rede departamental sensitiva. como um datagrama IP normal. Uma VPN pode ser implementada de dois modos: tunelamento e por pacote. Na comunicação remota o protocolo de comunicação para transmissão segura é o PPTP (Point-to-Point Tunneling Protocol). As VPNs possibilitam a conexão física entre redes locais.56 O acesso remoto a redes corporativas utilizando a Internet pode ser viabilizado com a tecnologia VPN através da ligação local a um provedor de acesso. Adicionalmente.

para garantir a segurança. Como resposta a isto. Esta solução é chamada de IPSec (IP Security Suite). um subgrupo do IETF (Internet Engineering Task Force) desenvolveu um padrão para comunicação TCP/IP de forma genérica.5. mesmo porque alguns campos são alterados à medida em que atravessam a rede em função do roteamento. a nível de camada de aplicação. O IPSec funciona como uma subcamada logo acima da camada IP. De forma geral. o payload agora é autenticado com algoritmos de hash (assinatura digital). Desta forma. A autenticação deve suportar algoritmos de hash específicos e que estejam dentro do padrão IPSec. o IPSec oferece a vantagem de esconder da Internet os endereços IP originais. O padrão IPSec provê segurança a nível de autenticação. o IPSec criptografa o pacote IP. este deve ser autenticado. algoritmos de criptografia e chaves a serem utilizadas na sessão. WAN e Internet utiliza o controle de roteamento baseado na camada de rede. IKE (Internet Key Exchange) – Para as parte envolvidas em uma transmissão de dados segura se comunicarem é preciso serem concluídas três etapas importantes: • • • Negociação entre as partes sobre protocolos. então ele adiciona um novo header contendo o IP destino do gateway VPN. onde o header e o payload do datagrama IP são encapsulados e criptografados (utilizando algoritmo simétrico) no novo payload do IPSec. confiabilidade e confidencialidade. Os procedimentos utilizados são os seguintes: ESP (Encapsulating Security Payload) – O ESP possibilita a construção de túneis (tunelamento) criptografados. Toda a comunicação LAN. é que são específicas para um ou outro serviço/aplicação.1. Troca de chaves de um modo eficiente. IPSec O problema das soluções de segurança. Como parte final da operação. e Manter estes requisitos durante a conversação. impedindo a leitura por ataques de monitoração de tráfego.10. A autenticação do AH difere do ESP porque a autenticação do AH não protege as informações que estão no cabeçalho do pacote IPSec. AH (Authentication Header) – Depois de criado o novo header.57 3. .

Para que o IDS seja útil. Diferentes IDSs têm diferentes classificações de intrusão. Os IDSs também fornecem informação que potencialmente permitem às organizações descobrirem as origens de um ataque. Ao fornecer informações ao administrador do site. Um intruso mais esperto que perceba que um IDS foi implementando em uma rede que ele está atacando irá muito provavelmente atacar primeiro o IDS tentando desabilitá-lo ou forçando-o a dar informações falsas (distraindo o pessoal de segurança do verdadeiro ataque). A detecção de intrusos é um componente importante de um sistema de segurança e complementa outras tecnologias. 3. os IDSs tentam fazer com que os “atacantes” se tornem responsáveis por suas ações. os IDSs compartilham uma definição geral de intrusão. o administrador do site precisa poder confiar na informação fornecida pelo sistema.6. servem para desestimular futuros ataques. Independente do tipo. Sistemas com falhas não só fornecem menos informações. que é o uso não autorizado ou inadequado de um sistema de computação. e até certo ponto.58 O IKE funciona basicamente em duas fases: a primeira é o estabelecimento de uma sessão segura (utilizando-se chaves assimétricas) e a segunda é a negociação da troca das chaves. enquanto que um sistema que se proponha a monitorar protocolos dinâmicos de roteamento pode considerar apenas RIP spoofing. é crucial que o IDS funcione conforme a expectativa da organização que o está implementando. como também tentativas de notificação de novos ataques não previstos por outros componentes. Dadas as implicações de falhas em um componente do IDS.10. Um sistema tentando detectar ataques contra servidores Web pode considerar apenas pedidos maliciosos HTTP. como também uma perigosa falsa sensação de segurança. Devido a sua importância dentro de um sistema de segurança. o IDS permite não apenas a detecção de ataques explicitamente endereçados por outros componentes de segurança (tais como firewalls). é correto presumir que os IDSs em si são alvos óbvios para ataques. IDS (Intrusion Detection System ) A detecção de intrusos é uma tecnologia de segurança capaz de identificar e isolar intrusões contra um sistema de computação e iniciar procedimentos de alerta e contraataque. Desta forma. .

de modo a garantir a sua confiabilidade de uso quando for necessário em caso de emergência. ópticos e outros. várias empresas só descobrem a importância da implementação de um bom . e 4) Os procedimentos de recuperação devem ser verificados e testados periodicamente para garantia de sua efetividade e de que podem ser completados dentro do prazo determinado nos procedimentos operacionais para recuperação. Os controles adotados para as mídias e para o ambiente principal devem ser estendidos para o ambiente alternativo. Os seguintes controles devem ser considerados: 1) Um nível mínimo de cópias de segurança. Infelizmente. ele precisa ser projetado e implementado com um entendimento claro sobre os meios específicos pelos quais ele pode ser atacado. contudo pode ser facilmente negligenciado quando tudo parece estar funcionando bem. juntamente com o registro completo e atualizado destas cópias e com a documentação dos procedimentos de recuperação.59 Para que um componente de software possa resistir a ataques. 3. 2) Os backups devem ser objeto de proteção física e ambiental compatíveis com os padrões utilizados no ambiente principal. Backup Sistema que possibilita a reprodução e a posterior restauração de informações a partir de meios magnéticos. sempre que possível.7. 3) As mídias utilizadas para backup devem ser periodicamente testadas. Procedimentos alternativos para sistemas independentes devem ser regularmente testados para a garantia de que eles satisfaçam os requisitos dos planos de continuidade de negócios. Fazer backup dos dados e programas de uma rede é uma das ferramentas de segurança mais fáceis e baratas de serem implementadas em uma organização. devem ser mantidos em local remoto a uma distância suficiente para livrá-los de qualquer dano que possa ocorrer na instalação principal.10. Recursos e instalações alternativos devem ser disponibilizados de forma a garantir que todos os dados e sistemas aplicativos essenciais ao negócio possam ser recuperados após um desastre ou problemas em mídias. Backup dos dados essenciais do negócio e de arquivos de programa devem ser feitos regularmente. (ISO/IEC 17799:2000).

senha. Este desafio consiste em criar um Message Digest. Neste caso é enviado pela rede um desafio.8. RADIUS (Remote Authentication Dial In User Service) O RADIUS é um padrão utilizado para autenticação remota. ou por um descuido de algum usuário apagando todos os seus arquivos. O RADIUS opera tanto com mecanismos de autenticação do Unix e Windows quanto com protocolos de autenticação. Neste caso. . 3. O servidor RAS envia o Message recebido ao servidor RADIUS que conhece a senha do usuário e que a utiliza para criar um Message Digest e comparar com o recebido. CHAP (Challenge Handshake Authentication Protocol) – O mais utilizado em autenticação RADIUS. ao conectar-se a um servidor RAS. PAP (Protocolo de Autenticação de Senha) . A segurança da confidencialidade da senha está no fato do RSA ser um algoritmo de Hash (a mensagem original não pode ser obtida através do conhecimento da chave e da mensagem criptografada). Um servidor RAS (ou qualquer servidor NAS .10. e outras quando necessário). a senha segue criptografada entre o RAS e o RADIUS por uma chave conhecida por ambos os servidores. as quais são analisadas pelo RADIUS. sobre o protocolo PPP. As funções primárias do servidor RADIUS são autenticação e autorização de usuários remotos (dial-up) para conexão a uma rede. O servidor RAS encaminha ao proxy RADIUS um pedido de acesso contendo as credenciais do usuário (access-request).60 plano de backup quando perdem seus dados por um acidente na sala do servidor.o usuário envia a sua senha aberta na rede e o servidor retorna as permissões do usuário. como o PAP e o CHAP. A negociação entre o usuário e o RADIUS se dá basicamente da seguinte forma: Todo usuário. O RADIUS valida o usuário e retorna ao RAS as permissões e configurações do usuário (access-accept) ou rejeição de acesso (access-reject).Network Access Server) passa a ser um cliente do servidor RADIUS (também conhecido como proxy RADIUS). através do Algoritmo RSA – MD5 utilizando a senha do usuário. deve informar as suas credencias (nome.

Por fim. O primeiro aplica-se às senhas. onde o usuário se identifica por meio de um código alfanumérico e apresenta sua identificação biométrica. geometria da mão. um processo automatizado de reconhecimento biométrico dos traços digitais pode ser altamente confiável. face e velocidade de digitação são características que permitem a identificação de usuários. A identificação biométrica procura trabalhar como a mente humana. cujo índice de similaridade vai determinar o sucesso da identificação. especializado na captura de digitais humanas. se as características biométricas apresentadas são muito parecidas com as armazenadas. o que permite o reconhecimento ao longo da vida. quando se atende o telefone há grandes chances de se identificar o interlocutor pela voz e em algumas vezes errar no reconhecimento. Um scanner de impressão digital é um dispositivo de dimensões reduzidas com as mesmas funcionalidades de scanner de mesa. este advém do fato da voz do interlocutor possuir muitas características em comum com a correspondente já memorizada. rápido e economicamente viável. Quando ocorre uma troca na identificação do interlocutor estamos diante de um fato denominado falso-positivo. retina. A impressão digital. Na observação de uma carteira de identidade é possível identificar rapidamente seu proprietário pela foto mas não pela impressão digital que requer um complexo processo de análise comparativa que a mente humana não está acostumada a fazer. Existem atualmente dois métodos de reconhecimento: reconhecimento 1:1 e reconhecimento 1:N. Cada tecnologia de identificação possui seu próprio mecanismo de captura de dados. quando o interlocutor já é conhecido mas não é prontamente identificado estamos diante de um fato denominado falso-negativo. Biometria A biometria é o estudo das características mensuráveis do ser humano que possibilitam o reconhecimento de um indivíduo. íris. Quando ocorre o acerto. neste caso temos uma identificação com sucesso. Esta abordagem confirma a unicidade e estabilidade destas características.61 3. Este mecanismo está sujeito à ocorrência de três situações: identificação com sucesso. porém. O mesmo acontece com a captura da imagem do olho para o reconhecimento da íris que é realizado por uma câmera de vídeo especialmente projetada para trabalhar com maior sensibilidade capaz de registrar todos os detalhes de um olho. ou seja. No entanto. O reconhecimento das pessoas é realizado por meio da comparação das características biométricas.10. restando ao sistema .9. neste caso o sistema confirma a identidade do usuário. o falso-positivo e o falso-negativo. Exemplificando. voz.

Após a troca de informação de identificação o equipamento do usuário derruba a chamada e aguarda a solicitação de conexão do servidor RAS. etc. Desta forma.10. portanto esta tecnologia pode ser aplicada para permitir ou negar acesso físico a ambientes protegidos além de controlar acessos lógicos a sites de serviços eletrônicos.10.) a partir de inúmeras comparações que resultam na escolha de um conjunto já armazenado e que mais se aproxima daquele capturado. voz. O mesmo. A identificação biométrica leva em conta características dos seres na presença de vida.11. Tais mecanismos baseiam-se em dois métodos diferentes: • • Desafio e Resposta. a extração de partes do corpo humano para forjar uma presença inexistente não obterá êxito numa possível fraude. O método de reconhecimento 1:N. com a identificação do ponto discado. É um mecanismo utilizado pelo servidor RAS para garantir a autenticidade do ponto remoto que deseja acessar a rede.10. o host desconecta a ligação logo após a chamada e a seguir liga para o número de telefone autorizado do terminal remoto para restabelecer a conexão. íris. este processo pode ocorrer da seguinte forma: o usuário através de sua linha telefônica solicita conexão ao servidor RAS. 3. 3. Call Back É o procedimento para identificar um terminal remoto. e Autenticação por sincronismo. . efetua nova chamada ao ponto remoto utilizando o número telefônico anteriormente informado como sendo do usuário. é pouco utilizado devido a sua alta complexidade pois o usuário deverá ser identificado apenas por suas características biométricas (impressão digital. No procedimento call back. Token Card Dentre um variado número de protocolos para verificação da autenticidade de usuários encontramos um modelo baseado em Cartões de Identificação comumente conhecidos por token card ou smart card.62 comparar as características desta com aquelas já armazenadas. Exemplificando.

Este método. que o autentica ou não caso essa resposta esteja de conformidade com informações de sua base de dados. o mesmo é cifrado junto com a chave do usuário contida no cartão transformando-se numa resposta que é enviada para o servidor. resumidamente. b) O usuário informa um número de identificação pessoal (PIN) a seu token card e obtém como resultado um número representando sua senha para ser usada uma única vez no servidor. e O usuário então insere este número em seu token card. que aparece em sua tela. O esquema a seguir demonstra o funcionamento do mecanismo de desafio/resposta. O usuário informa seu ID pessoal para o servidor e este retorna-lhe um número aleatório. funciona da seguinte forma: a) b) c) O usuário aciona o servidor de autenticação. denominado desafio. e c) O token card transmite ao servidor a senha obtida e este a compara com outra gerada em seu ambiente. Figura 5 – Autenticação desafio/resposta com ficha Na autenticação por sincronismo ocorrem os seguintes passos: a) O usuário efetua seu login de acesso no servidor que emite um prompt para receber um código de acesso. .63 O esquema baseado em desafios e respostas pressupõe a pré liberação controlada de um semi identificador do usuário que irá compor sua identificação completa no ato da entrada no sistema. e este emite um prompt para que o mesmo efetue seu login. caso as mesmas sejam equivalentes o acesso do usuário à rede é permitido.

64 O esquema a seguir ilustra o mecanismo de autenticação com token card realizado por sincronismo. para providenciar suas credenciais de autenticação. Figura 6 – Autenticação com Sincronismo A utilização de um dos dois sistemas faz com que o usuário tenha que carregar um dispositivo tal qual um cartão de crédito. .

e . dentro de uma nova concepção que pode ser sintetizada na simbologia “24x7”. Segundo a Network Associates. A comunidade dos hackers atualmente é estimada em cerca de 3. constatamos junto às cartas consultas encaminhadas ao Ministério da Fazenda desde 1997. Contudo. porque também inclui a ocorrência de acidentes ou de falhas não intencionais.65 4. além de aproximadamente 50 publicações especializadas. criatividade e flexibilidade. Tratando das organizações governamentais brasileiras. O surgimento dos hackers tem assustado. Não haveria como realmente estimar os custos envolvidos na expansão da área de segurança em virtude de rápida evolução tecnológica no setor. CONTEXTUALIZAÇÃO As conseqüências da expansão das comunicações eletrônicas sobre os serviços ofertados pelos Governos à sociedade são objeto de prognósticos que destacam a velocidade e amplitude surpreendentes dos impactos esperados. são criados na Internet cerca de 10 novos vírus por dia. impondo o desafio da elaboração de respostas com idêntica agilidade. 800 bulletinboards contendo o que poderia ser qualificado como “receitas” de assalto aos sistemas. segundo dados de pesquisas do Gartner Group. A segurança aparece hoje como responsável por 81% das intenções de investimento. a questão da segurança não pode se limitar ao problema dos ataques a sistemas. por quase todas as unidades da federação.4 bilhões anuais decorrentes de ataques aos sistemas de transações eletrônicas (dados do The Management Advice Group). A busca da mais ampla capilaridade. • • A transparência ou amplas facilidades de acesso à informação pública pelo cidadão. com vistas a apreciação do Programa Nacional de Apoio à Administração Fazendária dos Estados e Municípios – PNAFEM. As ameaças à segurança das comunicações eletrônicas provocam uma perda estimada de cerca de US$ 84. a formação de uma clara agenda de questões a serem enfrentadas pelo citado segmento do setor público. onde aparecem com freqüência os seguintes temas: • A busca de meios para suprir uma oferta continuada de serviços demandados pela população.500 sites na Internet. especificamente daquelas responsáveis pela administração tributária.

Para o Estado além da preocupação com a melhor forma de aplicação interna das novas tecnologias em consonância com seus aspectos organizacionais e demandas da sociedade. considerando os riscos de imagem para as instituições que realizam transações com clientes em meio eletrônico. e A implementação de forma efetiva da política de segurança.66 • A busca de meios para a materialização do “governo dentro de casa”. por meio do contato direto com o cidadão. marcas e nomes de domínio na Internet. o que deverá ensejar não somente a expansão e redesenho da prestação de serviços mas também a criação de novos mecanismos de interação entre governo e sociedade. a partir de um diagnóstico preciso e da opção dentre um amplo leque de tecnologias. Dessa forma. moeda eletrônica. em especial: • • • • • Conhecimento das ameaças que rondam seus negócios. Aspecto importante é o indício de que os dados a respeito da criminalidade eletrônica são subestimados. A construção de sistemas sólidos de identificação e de autenticação. Há uma relação de implicação evidente entre segurança e custos. a detecção e a reação a ataques ou a falhas. 53% dos ataques contra organizações brasileiras tem como autores funcionários insatisfeitos das organizações atingidas. Os custos envolvidos são componentes cada vez mais indissociáveis no esquema de modernização. compreendendo em particular os seguintes assuntos: • • • • • assinatura eletrônica. cyber-crimes. A adoção de políticas de segurança. . No âmbito de qualquer organização. porque precisa igualmente contemplar a prevenção. segurança não é simples proteção. Desenvolvimento de uma cultura de segurança. na medida em que a decisão pela aquisição de uma ferramenta para tal fim deve considerar os riscos e sua gradação. associados com a divulgação de ocorrências dessa natureza. a manutenção da segurança depende da adequada formulação e implementação de políticas corporativas. e direitos autorais sobre multimídias. Em síntese os desafios da segurança impõem às organizações. metodologias e instrumentos. coloca-se a discussão de sua prévia e necessária intervenção regulatória. Conforme aponta a sétima pesquisa Módulo Security.

a espionagem e a violação de bancos de dados. a velocidade e facilidade de movimentação. a obtenção de segredos. só podem ser tipificados a partir de evidências materiais (o registro da informação) e não por meio de testemunhos. porque têm lugar. tais instituições se viram obrigadas a desenvolver soluções caseiras na busca do atendimento das demandas da comunidade. São crimes que extrapolam a territorialidade convencional. a cópia não autorizada de programas. O aumento da demanda com o aparecimento constante de novos contribuintes. por exemplo.716/96 da Constituição Federal –CF). Entretanto. Tratando expressamente das Secretarias de Receita. a discriminação racial (objeto de legislação específica: a Lei n. a extrema dispersão territorial. tais como o acesso indevido e a violação de sistemas. a pornografia infantil (objeto da Lei n. a falsificação de documentos em meio eletrônico.67 O aperfeiçoamento da legislação brasileira já possibilita a criminalização de condutas que anteriormente eram de difícil enquadramento legal. O anonimato.069/91 da CF) e a interceptação telemática. Além desses. tais como o estelionato (por meio da transferência eletrônica de fundos). acompanhado de exemplos significativos de excelentes serviços prestados pela rede mundial. são características que dificultam a investigação convencional. no espaço virtual da Internet.296/96 da CF). Por outro lado. constatamos que a maioria delas apresentam situações similares quanto ao desenvolvimento de seus sistemas de computação. conhecida como “grampo” (Lei n. verificados junto a um grande número de Secretarias de Receita: . Os cyber crimes estão levando a uma revisão de conceitos na área jurídica em virtude de suas características inovadoras. Relacionamos a seguir uma série de problemas mais comuns na área das tecnologias de informática aplicadas.º 9. Limitadas pela legislação que lhes impõem inúmeras regras e contando com orçamentos restritos destinados a novos investimentos.º 8.º 7. o rol de práticas criminosas em meio eletrônico desafia os limites das abordagens convencionais na sua investigação e demanda soluções criativas. tem pressionado os gestores responsáveis pelas funções de Estado de administração tributária a se desdobrarem em soluções imediatistas que por vezes não têm observado os princípios básicos da segurança necessária. crimes que já eram objeto de tipificação legal podem ser praticados com o auxílio de equipamentos de computação.

Sistemas corporativos com baixa integração.1. As principais atividades de uma instituição de administração tributária estão resumidas a seguir: • • Elaboração de estudos demonstrativos da viabilidade econômico/tributária. além da capacidade. e Ausência de um sistema de segurança e controle de acessos. Má alocação de equipamentos de informática. . Cabe às entidades de administração tributária a missão de definir a capacidade contributiva de cada um de seus membros. Proposição dos modelos de tributação. OBJETIVOS ESPECÍFICOS A missão de captar recursos junto à sociedade resulta de uma variedade de sub funções que precedem o ato de recolhimento e vão muito além deste. Falta de clareza de produtos contratados com terceiros.68 • • • • • • • Falta de um plano diretor de tecnologia visando maximizar os investimentos na aquisição e manutenção de hardwares e softwares. OBJETIVO GERAL DAS ORGANIZAÇÕES DE ADMINISTRAÇÃO TRIBUTÁRIA Como em qualquer organização. propor a forma de participação destes e implementar os mecanismos de captação dos citados recursos. A captação dos citados recursos origina-se de um conceito onde os bens comuns devem ser providos por toda a sociedade mediante uma participação proporcional de cada um de seus membros conforme suas disponibilidades e posses. Grande dependência de serviços de terceiros. Ferramentas tecnologicamente desatualizadas. principalmente. a disposição da sociedade em participar como coautora das ações do Governo. o Governo funciona baseado em uma divisão clara das tarefas a serem desenvolvidas no plano de sustentação interna e.2. No elenco de agentes e atribuições governamentais verificamos um segmento responsável pela administração tributária cuja missão principal é suprir as necessidades financeiras para suporte das ações desenvolvidas pelo Estado. daquelas de natureza finalística onde os resultados são ofertados diretamente à comunidade. 4. 4. Estudos preliminares devem apontar.

Atender aos contribuintes. Controlar pagamentos. não aparece definida uma entidade cuja missão principal seja a formulação e gestão de políticas destinadas proteger os ativos de tecnologia e informações existentes.69 • Arrecadação de impostos e taxas. Controlar repasses bancários. Cobrar inadimplências. Gerenciar contencioso fiscal. Fiscalização. a saber: • O vertiginoso desenvolvimento dos meios de comunicação disseminou conceitos de cidadania participativa até então restritos a uma pequena parte da sociedade. O aparecimento dos crimes cibernéticos mostrou grandes vulnerabilidades e o aparecimento de novas atividades internas. ORGANOGRAMA PADRÃO Após um longo período de observação das estruturas organizacionais existentes nos estados e municípios destinadas ao suporte das atividades tributárias. e • As novas ferramentas de processamento eletrônico de dados foram adotadas em larga escala sem grandes preocupações com a segurança dos mesmos. Administrar de declarações. comumente. Este fato especializou as demandas dos cidadãos que ainda revestidos de direitos passaram a cobrar com veemência as respectivas contrapartidas. obrigando tais instituições a buscarem rapidamente qualidade nas suas funções de atendimento aos contribuintes. Devemos ressaltar que nos últimos tempos dois fatores vêm causando uma verdadeira revolução no âmbito da administração tributária agregando-lhes novas atribuições internas. • • • • • • • • • Realizar lançamentos. onde. 4. . Julgamentos da instância administrativa. constatou-se a predominância absoluta de uma estrutura clássica conforme apresentada a seguir.3.

inativo e pensionista. diretamente subordinada ao Secretário de Receita. Coordenar as atividades referentes às operações patrimoniais internas. e de serviços gerais da Secretaria. Coordenar a gestão orçamentária da secretaria. de material. de administração financeira e de material e de apoio logístico.1. COMPETÊNCIAS GENÉRICAS 4. procedendo ao registro e ao controle dos bens móveis e imóveis. Elaborar a programação e supervisionar a execução dos trabalhos dos órgãos que lhe são diretamente subordinados. executar as atividades de administração financeira.FIS Departamento de Atendimento aos contribuintes ATE Figura 7 . por intermédio dos órgãos a ele subordinados.Estrutura Básica das Secretarias de Receita 4. respeitada a orientação definida pelos órgãos centrais.70 SECRETÁRIO DE RECEITA Coordenação de Administração Coordenação de Informática . Prestar apoio operacional a todos os órgãos subordinados à secretaria.JRF Departamento de Tributação . de pessoal ativo. • • • • • • Elaborar as normas internas relativas à administração geral. Coordenar e controlar a execução dos trabalhos das gerências de recursos humanos.4.TRI Departamento de Arrecadação ARR Departamento de Fiscalização .INF Junta de Recursos Fiscais . . Coordenação de Administração Compete à Coordenação de Administração. as seguintes atividades básicas: • Coordenar e.4.

e Atender a diligências do Tribunal Administrativo de Recursos Fiscais. em primeira instância. 4. Analisar e relatar. Prestar esclarecimentos sobre a aplicação da legislação tributária. Elaborar a programação financeira mensal da secretaria. Prestar assistência técnica preventiva aos equipamentos de informática.3.4. Acompanhar junto à Procuradoria Geral do Estado as ações judiciais contra a Secretaria de Receita. supervisionar e orientar as atividades de informatização da Secretaria de Receita. o contencioso administrativo fiscal. coordenar.71 • • • Propor normas e procedimentos para registro e controle dos bens patrimoniais próprios.2. Desenvolver e administrar os sistemas internos da Secretaria de Receita. Analisar solicitações de benefícios fiscais. Treinar usuários na utilização dos sistemas. Departamento de Tributação Compete ao Departamento de Tributação. diretamente subordinado ao Secretário de Receita as seguintes atividades: • • • • • • Propor alterações na legislação tributária estadual. Realizar auditorias em softwares e hardwares. . Coordenação de Informática Compete à Coordenação de Tecnologia e Informação as seguintes atividades básicas: • • • • • • • Planejar. 4. e Coordenar e controlar a execução financeira da secretaria.4. Registrar e controlar as ocorrências de defeitos técnicos. e Executar de forma sistêmica as rotinas estabelecidas para a proteção dos dados (backups). órgão de direção executiva.

Realizar fiscalizações itinerantes. e . notificar. Departamento de Fiscalização Compete ao Departamento de Fiscalização Tributária.4. as seguintes atividades: • • • • Estabelecer o programa de ação fiscal e realizar o seu acompanhamento.4.6. e Administrar os postos fiscais e depósitos de mercadorias apreendidas. Departamento de Atendimento ao Contribuinte Compete ao Departamento de Atendimento ao Contribuinte.4. Departamento de Arrecadação Compete ao Departamento de Arrecadação. diretamente subordinado à Secretário de Receita. 4. Processar e controlar os documentos de arrecadação e de acompanhamento da receita. Realizar o atendimento remoto ao contribuinte.72 4. Controlar a arrecadação de tributos e a execução dos convênios celebrados com os agentes arrecadadores. Monitorar e auditar estabelecimentos industriais. Inscrever. Administrar e manter os cadastros de contribuintes. e Acompanhar os registros de informações de cadastro de veículos automotores. órgão de direção executiva. comerciais e prestadores de serviços. controlar e baixar os débitos em dívida ativa. 4. Acompanhar e controlar o parcelamento de débitos fiscais. Operar os sistemas de registro de consultas técnicas (call center). diretamente subordinado ao Secretário de Receita as seguintes atividades básicas: • • • Propor normas para sistematizar o atendimento aos contribuintes.5. diretamente subordinado ao Secretário de Receita as seguintes atividades: • • • • • • • Realizar estudos com o objetivo de estabelecer as metas de arrecadação e fornecer subsídios para a elaboração dos planos anual e plurianual.4. órgão de direção executiva. órgão de direção executiva.

os governos salvavam-se dos débitos orçamentários elevando a carga tributária por meio de um sem número de manobras legais. contavam ainda com as manobras financeiras decorrentes da espiral inflacionária. Aliados a estas facilidades. 4. PERFIL DO USUÁRIO As Secretarias de Receita aparecem em todos os estados como uma das unidades do Governo que opera baseada num quadro de funcionários de carreira detentores das maiores qualificações técnicas. Anteriormente à Constituição Federal de 1998. normalmente ligados às atividades de processamento de dados. as Secretarias de Receita necessitam de uma constante interação com as seguintes entidades: • • • • • • Contribuintes Procuradoria Poder judiciário Imprensa Assembléias legislativas Institutos de pesquisas Contabilistas Bancos Entidades de Classe Tribunais de Contas Ministério Público Fiscos Estaduais Fornecedores diversos Ministério da Fazenda Receita Federal. 4. Banco Central CVM 4.6. . prestadores de serviços. tanto no desenvolvimento de sistemas quanto na produção dos mesmos.73 • Promover o atendimento direto aos contribuintes. sendo este composto por Auditores Fiscais e Técnicos Tributários.5. PERSPECTIVAS DE EVOLUÇÃO As unidades de administração das Secretarias de Receita sofreram um grande impacto decorrente da especialização das demandas por informações gerenciais resultantes do tratamento de um volume cada vez maior de dados relativos a declarações e recolhimentos de tributos. Além dos servidores pertencentes aos quadros permanentes é comum serem identificados alguns funcionários externos.7. INTERAÇÃO COM OUTRAS ORGANIZAÇÕES Devido à natureza das atividades que exercem. tais como aumento de alíquotas e criação de novas taxas e contribuições sem o devido estudo de viabilidade econômica.

Devemos ressaltar que outros fatores contribuíram para uma mudança de forma de trabalho. Defeitos nos sistemas aplicativos. conforme ilustrado a seguir. Falha em equipamentos. e. como os discos magnéticos portáteis e sistemas destinados à automação de pequenos e médios escritórios. A popularização de novos meios de armazenamento. unidades de armazenamento. e Inexistência de cópias sistêmicas de segurança. facilitaram o surgimento de uma nova fase na administração tributária onde a mesma eliminou sua digitação interna e passou a captar seus dados declaratórios diretamente de dispositivos . principalmente. CONTRIBUINTES BANCOS PAGAMENTOS DE IMPOSTOS DE CAPTAÇÃO EMISSÃO PA RESUMO DE DECLARAÇÕES DOCUMENTOS DE ARRECADAÇÃO PROCESSAMENTO SAÍDAS EM VÍDEO RELATÓRIOS OPERACIONAIS RELATÓRIOS OPERACIONAIS Figura 8 – Modelo observado no final da década de 1980 na maioria das Secretarias de Receita. invariavelmente. tendo como principais ameaças: • • • • Invasão interna. dentre eles o barateamento dos componentes de informática.74 Até o início da década de 90 observou-se uma estrutura onde os contribuintes de uma forma geral e a rede bancária enviavam enormes quantidades de papel às Secretarias de Receita que se desdobravam num oneroso processo de captação gerando. A simples geração de relatórios operacionais passou a não atender a especialização ocorrida nas demandas ao enorme volume de dados que se apresentava para tratamento. outros relatórios pouco operacionais. tais como processadores.

75 enviados pelos contribuintes. Armazenamento inadequado. trouxe uma nova forma de ambiente com um visível aumento no volume de dados processados e o aumento dos seguintes riscos: • • • • • • • Invasões internas. Falhas nos equipamentos. apresentando suas informações mas não tendo acesso a elas. Neste modelo os contribuintes. Esta conformação. ainda mantinham-se passivos no processo. Inexistência de cópias sistêmicas de segurança. os dados resultantes de pagamentos passaram a ser recebidos diretamente em meio magnético da rede bancária. verdadeiros donos dos dados armazenados nas suas respectivas organizações de administração tributária. Além destes. Defeitos nos sistemas aplicativos. mostrada na Figura 9. CONTRIBUINTES PAGAMENTOS DE IMPOSTOS BANCOS CAPTAÇÃO E EMISSÃO DECLARAÇÕES DOCUMENTOS DE ARRECADAÇÃO PROCESSAMENTO SAÍDAS EM VÍDEO RELATÓRIOS OPERACIONAIS RELATÓRIOS GERENCIAIS Figura 9 – Modelo observado na primeira metade da década de 1990 . e Vírus. Incompatibilidades nas tecnologias de armazenamento.

agregou novos riscos considerados de difícil controle conforme a relação abaixo: • • • • • • • Invasões externas. esta modalidade. Falhas nos equipamentos. ilustrada a seguir. e Defeitos nos sistemas aplicativos. CAPTAÇÃO E PROCESSAMENTO PAG DECLARAÇÕES E NOTAS FISCAIS DOCUMENTOS DE ARRECADAÇÃO PROCESSAMENTO SAÍDAS EM VÍDEO RELATÓRIOS GERENCIAIS Figura 10 – Modelo implantado a partir da segunda metade da década de 1990 e observado até hoje num grande número Secretarias de Receita . Além dos riscos existentes nos modelos anteriores.F. Vírus especialistas. Defeitos nos sistemas aplicativos.76 Com a especialização das redes e principalmente a disseminação e estabilidade da Internet ocorreu uma nova mudança a partir da qual os agentes que interagem com as organizações de administração tributária passaram a obter os serviços desejados diretamente a partir dos cadastros básicos residentes naqueles órgãos e previamente processados por eles. CONTRIBUINTES BANCOS INTERNET REDES PRIVADAS DEC E N. Armazenamento inadequado. Inexistência de cópias sistêmicas de segurança.

77 Novos modelos de administração tributária pressupõem atendimentos especializados e com a maior comodidade possível aos contribuintes. . ou seja. pressupõem extrema interligação entre todas as unidades da federação de modo que tenha seus dados cadastrais residentes em um único local. na sua unidade de origem e as demais tenham acesso irrestrito a eles. Outro fator que exigirá uma revolução nos padrões atuais reside no fato de que todas as operações comerciais que representem entradas ou saídas de mercadorias e serviços realizadas por qualquer contribuinte deverão ser informadas à sua circunscrição fiscal. Além disso. Nesta direção existem conjecturas no sentido de buscar meios técnicos para operacionalizar um sistema onde os dados históricos fiquem armazenados nos sites dos próprios contribuintes e estejam permanentemente disponíveis às Secretarias de Receita conforme o modelo a seguir: CONTRIBUINTES BANCOS DECLARAÇÕES E NOTAS FISCAIS (ANALÍTICO) INTERNET DECLARAÇÕES E NOTAS FISCAIS (SINTÉTICO) DOCUMENTOS DE ARRECADAÇÃO PROCESSAMENTO SAÍDAS EM VÍDEO Figura 11 – Modelo tendência para implantação ainda na década de 2000. O sistema deverá operar em modo distribuído. Esta premissa é fundamental para que os novos sistemas de fiscalização sejam eficazes.

As estruturas organizacionais tendem a se complementar com a especialização das já existentes unidades operacionais de informática e o acréscimo de outra sub-unidade de natureza colegiada responsável pela elaboração e manutenção de uma política de segurança dos recursos e informações conforme mostra a figura a seguir: RECEITA TRIBUTÁRIA Coordenação de Administração Coordenação de Informática .JRF Conselho de gestão da política de segurança da informação Figura 12 – Modelo de organograma observado como tendência para as Secretarias de Receita a ser implantado nos próximos anos.FIS Departamento de Atendimento aos Contribuintes Junta de Recursos Fiscais . representada pelos contribuintes.INF Departamento de Tributação . No campo externo ocupado pela sociedade em geral. ocorre uma visível movimentação exigindo maior transparência e efetividade no trato dos recursos públicos. Internamente há um elenco de discussões sobre as atualizações necessárias e suas formas de implementação.8. 4.78 A operacionalização com base no esquema demonstrado anteriormente é uma realidade dependente exclusivamente do tempo. .TRI Departamento de Arrecadação ARR Departamento de Fiscalização . MATRIZ DE USO DE DADOS A seguir apresentamos o modelo de uma matriz de uso de dados utilizada pela Secretaria de Receita de Brasília.

A.A.C A.C C A.C I.C I.C C C C I.A.A.C C C A.79 CADASTROS Abrangência da coletoria Acionista x capital Aditamento de contrato Aditamento do convênio Agência bancária Alíquotas Atividade econômica Atribuição de cargo Atribuição de função Auto de infração Requisições Autorização de impressão de documento Fiscal Autorização de uso de documento fiscal Autorização para uso de documento fiscal eletrônico Categoria de estabelecimentos Categoria de veículos Classificação contábil da receita Classificação tributária da receita Classificação de produtos – NCM Código fiscal de operações Códigos de receita Conhecimentos de transporte Contratos Datas de vencimentos Denúncias Documento de inscrição em dívida ativa Documentos de arrecadação Declaração mensal de serviços prestados Declaração mensal de empresas de pequeno Porte Declaração mensal de micro empresas Equipamentos emissores de cupom fiscal Escalas de plantão Ficha cadastral de contribuinte Grupo financeiro Guia de informação mensal de ICMS Guia de Informação sobre valor agregado Guia nacional de informação de ICMS Histórico de instituição Histórico de processos Indicador de desempenho Indicadores demográficos Indicadores econômicos Índices de depreciação Índices de participação Item de produto Legislação e atos legais Leilão Log de auditoria Logradouros Marcas de veículos Modelos de veículos Moedas Nota fiscal USUÁRIOS INTERNOS TRI ARR FIS ATE ADM C C C C C I.C C C C C I.C C I.A.A.A.C C I.A.C A.A.A.C C C C C C C C C C C C C C C C C C C C C C C C C C C A.C C C C I.A.A.C A.C I.A.C I.C A.A.A.C C C I.C C C C C C C C C C C C C C C USUÁRIOS EXTERNOS INF C C C C C C C C C C I.C C I.A.A.C C C C A.C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C .A.C C I.C I.A.A.C I.A.C C C C C C I.C I.C I.A.C C C C C C C C C C C C C C C C I.A.C C C I.C I.C A.C C C I.C A.C C C C C I.C C A.A.C C C I.C I.A.C C C C C C A.C I.C C A.C A.A.C C I.C A.A.C A.C A.A.A.A.C C C C C C C C C I.A.A.C C C C C C JRF C C C C C C C C C C I.A.C I.A.C C C C I.C A.C C I.A.A.C C C C C C C C C C C C I.C C C C C A.C A.C C C I.C I.A.C C C C C C C C C C C C C C C C C C C C C C C C C C C C A.A.C A.C C C C A.C C C C C C A.A.A.C I.C C A.A.C A.C C A.C C A.A.C C C A.A.A.C C I.A.C A.C C C C C A.C A.C A.A.C I.C C C C I.C A.A.C I.C A.C I.C C C C C C I.C A.C I.C C C C C C C C I.C I.C I.A.C I.C C C C C C C C C C C C C C C CTB OUTROS C C C C C C C C C C C C C C I.C I.C I.A.C C C C C I.A.C C A.C C C A.C I.C C C C C C C C I.C C C C C C A.C A.C I.A.C A.C C C C C C C C I.C I.A.C A.C C C C C C I.C C C C C C I.C A.A.A.C I.A.A.C C C C I.A.A.C C C C C C C C C C C C C C C C I.A.A.C I.C A.C I.C I.C A.C C C C C I.A.A.A.C C A.C A.C C C I.C C A.A.A.A.A.

C C C I.C A.Matriz de Uso de dados Legenda : TRI – Departamento de tributação ARR – Departamento de Arrecadação FIS – Departamento de Fiscalização ATE – Atendimento aos Contribuintes ADM – Coordenação de Administração INF – Coordenação de Informática JRF – Junta de Recursos Fiscais.C A.A.C C C C C C C C C C C C C C C C C C C C I.A.C A.A.A.C A.A.C A.C A.A.C A.C I.C C I.Outras entidades I – Inclusão A – Alteração C – Consulta Obs: A opção “E” para exclusão não foi utilizada pois em sistemas de administração tributária não ocorre a remoção de registros.C A.C I.C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C Tabela 1 .C C A.C C C C C C C C C C C C C C C C C C C C A.C I.C C I.A.C C C C C C C C C A.C C C I.C C C C C I.C C C C I.C I.A.C A.C I.A.C C C I.C I.C C A.C A.C C I.A.C I. apenas sua desativação.C I.80 Notificações Ordem de serviço Pauta de valor de IPVA Portarias de citação Processos Recibos Regiões demográficas Termo de fiscalização Termo de responsabilidade Tipo de documento Tipo de documento fiscal Tipo de ordem de serviço Tipo de participação Tipo de processo Transferência de crédito fiscal Transportadoras Unidade de medida Usuários de sistemas Valor de produto por município Vigências C I.C A.C A.A.C I.C C I.C C C A.C I.C C C C A.A.C A.C A.A.C A.A.A. .C I.C I.C C C C C C I.A.C A.A.A.A.C I.C C C I.A.A.C A.A.C C C A.C I.A.C C C I.C C I.A.A.C I.A.A.C A. CTB – Contribuintes OUTROS .A.A.A.

com maior ou menor grau de probabilidade. ocorrerão invasões dos mais variados tipos capazes de causar algum impacto. Na tabela apresentada a seguir relacionamos as ameaças às quais as Secretarias de Receita estão expostas.1. POLÍTICA DE SEGURANÇA 5. os controles para prevenir ou ao menos impedir que as vulnerabilidades se concretizem foram implementados com sucesso. ANÁLISE DE RISCOS Em ambientes das Secretarias de Receita onde são depositadas informações capazes de espelhar toda a vida financeira das empresas da circunscrição. Média: a fonte da ameaça é motivada e suficientemente capaz mas as contramedidas já estão implementadas para impedir que as vulnerabilidades sejam concretizadas com sucesso. ou a fonte da ameaça não é motivada para concretizar estas vulnerabilidades ou é apenas parcialmente capaz de fazê-lo Baixa: a fonte da ameaça não possui motivação ou capacidade ou então.81 5. a probabilidade de ocorrências e os possíveis impactos. é lícito prever que. não importando seu porte ou atividade econômica. . De acordo com o Risk Management Guide do NIST (Junho/2001) podem-se classificar as probabilidades de ocorrência de ameaças em 3 categorias: Alta: a fonte da ameaça é altamente motivada e suficientemente capaz e as contramedidas para evitar que as vulnerabilidades se concretizem são ineficazes.

Fraude. Possibilidade de processo legal Divulgação de informações sigilosas. Possibilidade de processo legal. Divulgação de informações sigilosas. Perda de credibilidade Perda de credibilidade. e Perda de arrecadação. Sistema vitais não disponíveis. Possibilidade de processo legal. Perda de credibilidade Divulgação de informações sigilosas. Divulgação de informações sigilosas. Possibilidade de processo legal. Fraude. Possibilidade de processo legal. Fraude. Fraude. Perda de Credibilidade Fraude Fraude Interceptação de informação Perda de credibilidade Destruição de informação Fornecimento inconsciente de informações Média sigilosas Instalação de hardware não autorizado Instalação de software não autorizado Vírus Problemas nos sistemas operacionais Cavalos de Tróia Alta Alta Alta Alta Alta Invasores disfarçados Média Desastres naturais Conflitos (guerras) Sabotagem Roubo Grampos telefônicos Monitoramento não autorizado do tráfego na rede Modificação criminosa dos dados armazenados Acesso ao arquivo de senhas Baixa Baixa Média Média Média Baixa Média Média Uso de senhas frágeis Alta Acesso físico não autorizado Alta Não cumprimento de normas Alta Repúdio Backdoor Média Alta Tabela 2 – Análise de Ameaças .82 Ameaça Destruição acidental Configuração incorreta de sistemas Probabilidade de ocorrência Média Média Impactos • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • Sistemas vitais não disponíveis Sistemas vitais não disponíveis Fraude Possibilidade de processo legal contra o órgão Perda de credibilidade Fraude Fraude Sistema vitais não disponíveis Destruição de informações Sistemas vitais não disponíveis Sistema vitais não disponíveis Destruição de informações Divulgação de informações sigilosas Perda de credibilidade Destruição de informações Divulgação de informações sigilosas Perda de credibilidade Sistemas vitais não disponíveis Sistemas vitais não disponíveis Sistemas vitais não disponíveis. Perda de receita. Divulgação de informações sigilosas. Divulgação de informações sigilosas. Possibilidade de processo legal Perda de credibilidade.

83 Neste trabalho constatamos as principais vulnerabilidades com alta probabilidade de ocorrência, sobre as quais discorremos a seguir: • Divulgação de informações sigilosas ou com restrições de divulgação, que ocorre quando o funcionário ou prestador de serviço das Secretarias de Receita, que tem acesso às informações classificadas como sigilosas, divulga-as indevidamente para outros não autorizados; • Inserção de informação, programas danosos ou vírus de computador sem controle de recebimento ou tratamento adequado para evitar danos, que ocorre quando funcionários ou prestadores de serviço com acesso às informações das Secretarias de Receita inserem, sem autorização da Gerência de Segurança, arquivo ou programa que provoque danos na base de informação; • • Possibilidade de acesso/modificação da informação realizada por usuários não autorizados; Possibilidade de modificação, divulgação ou destruição de informação por aplicações em teste ou operadas por usuários sem conhecimento do uso correto do programa; e • Utilização de endereço eletrônico de qualquer funcionário para disponibilização ou divulgação de informação sem o conhecimento do dono da conta. 5.1.1. Vulnerabilidades As vulnerabilidades são os pontos fracos de uma instituição que permitem ataques e são uma fonte de riscos. O levantamento das vulnerabilidades existentes é fundamental para se mensurar de forma clara e enxuta quais ações, metodologias, práticas e ferramentas devem-se aplicar para garantir a integridade, confidencialidade, autenticidade e disponibilidade da informação. 5.1.1.1. Vulnerabilidades Externas • • Controle de acesso (visualização, adição, alteração ou exclusão da informação) sem utilização de autenticação confiável. Falta de procedimentos de anuência hierárquica e documentação da disponibilização de informações;

84 • • • • • Falta de uma política e regras claras quanto à disponibilização da informação por outros meios (exemplo, informações por telefone); Falta de controle do volume de acessos ao site e informações disponibilizadas para acesso externo; Existência de diretório de FTP anônimo; Utilização de TFTP (uma versão simplificada do FTP que não usa senha para autenticação de usuários); e Falta de sistema de detecção de intrusos.

5.1.1.2. Vulnerabilidades Internas • • • Falta de controle, por autenticação, das estações; Existência de contas padrão – muitos programas e pacotes de terceiros vêm com contas padrão com senhas padrão. Contas como guest ou de Administrador; Uso de senhas fracas – podem ser de contas padrão com senhas padrão, contas de convidados, contas compartilhadas, contas sem senha ou com senha facilmente identificável. Utilização, nos sistemas com autenticação, de usuários e senhas comuns (divulgação de senhas); • • • • • • • • Falta de política de troca e bloqueio de contas e senhas; Falta de controle de permissão de uso das estações (policies); Falta de gerenciamento e controle de privilégios de usuários com definição clara dos perfis e permissões das contas de cada usuário; Não há uma revisão periódica dos critérios, permissões dos usuários; Não há definição de procedimentos e autoridades para conceber criação de contas e permissões de concessões de privilégios; Falta de controle de log quanto a acessos de usuários incluindo data e hora. Existência de pontos de rede ociosos habilitados; Qualquer notebook, estação ou equipamento, com interface ethernet pode ser conectado a um ponto da rede e funcionar (controle de acesso ao meio físico da LAN); • Usuários não esclarecidos sobre as conseqüências do uso incorreto de informação da instituição;

85 • Qualquer pessoa que tenha acesso físico à estação pode utilizá-la e pode também instalar ou desinstalar qualquer aplicativo (inclusive programas danosos ou modems – portas dos fundos); • • • • Ferramenta antivírus sem procedimentos para atualização periódica e possível de ser desativada por qualquer usuário; Terminais e Workstations sem controle de tempo de conexão; Falta de controle do acesso físico às estações; e Falta de gerenciamento de processamento de informação sobre responsabilidade de terceirizados. 5.1.1.3. Vulnerabilidades Referentes a Correio Eletrônico • • • • Informações não públicas circulam dentro e fora da rede através de e-mail sem controle/certificação do usuário remetente; Não há garantia da entrega da informação; Qualquer usuário com acesso à rede interna pode enviar e-mail informando o endereço eletrônico de outro; e Arquivos anexados só são verificados contra vírus na estação.

5.1.1.4. Vulnerabilidades Referentes a Aplicações • Em muitos casos apenas um usuário é responsável pela informação sem haver, portanto, controle de log ou outro usuário para confirmar a operação (permitindo o uso danoso da informação por funcionários insatisfeitos, por exemplo); • • • • • Não há controle de atualização e uso de versões anteriores de aplicações; Ambiente de produção, desenvolvimento e teste único; Falta de documentação dos procedimentos de produção; Código fonte de aplicações distribuídas sem controle; e Falta de regras de segurança para orientação dos desenvolvedores quanto à segurança de acesso e divulgação de informação pelos programas.

Backups não testados ou sem controle.5. 4 – Todo acesso à informação deve ser registrado de forma a viabilizar auditoria quando necessário.2.A proteção da informação deve ser preventiva viabilizando o processo de recuperação de dados.86 5. Facilidade para o roubo e furto de equipamentos e programas. alteração.Toda e qualquer informação da Secretaria de Receita armazenada e disponibilizada por meio de recursos de informática deve ser protegida contra acesso. e Falta de ferramenta de inventário automatizado da rede (hardware e software em servidores e estações). . Não é utilizada. a inclusão de cláusula no contrato de funcionários e prestadores de serviço que especifiquem sanções em caso de tentativa de acesso não autorizado (ISO/IEC 17799:2000). Não há controle de software pirata ou não homologado.1. 3 . e níveis de sensibilidade: confidencial. destruição. NORMAS DE SEGURANÇA 1 . com base na legislação vigente e qualquer obrigação contratual. quer seja acidental ou intencional. essencial e não essencial. Falta de monitoração de uso (garantir disponibilidade).1. uso interno e uso público. 5.O critério de classificação das informações deverá ser designado de forma a garantir que as mesmas sejam avaliadas em duas escalas: • • níveis de importância: crítica. 2 . Falta de revisão do controle de falhas. divulgação de cópias não autorizadas. Falta de procedimentos para atualização de patches e SP (Service Pack). a segurança de dados e serviço. • • Não é aplicada a regra: Tudo deve ser proibido a menos que expressamente permitido (ISO/IEC 17799:2000). Outras Vulnerabilidades • • • • • • • • Acessos e troca de informações via RAS sem criptografia (VPN) ou autenticação segura (PKI por exemplo).

12 – Estas normas segurança deverão ser documentadas e disponibilizadas a todas as partes interessadas.87 5 .O cumprimento das normas estabelecidas pela Política de Segurança da Informação é obrigatório a todos os usuários com direito de acesso à rede. prestadores de serviços e estagiários autorizados a usar os recursos da rede devem ser treinados em segurança da informação através de seminários. através de um documento escrito. roubo. devem constar cláusulas que garantam a observância da política de segurança da mesma.Todos os empregados. 6 . POLÍTICA DE SEGURANÇA APLICADA A PESSOAS EM CONFORMIDADE COM A ISO/IEC 17799:2000 Objetivo: Reduzir os riscos de erro humano. 11 . conforme necessário.Nos contratos que impliquem o manuseio de informações das Secretarias de Receita por parte de terceiros.O acesso à rede das Secretarias de Receita através de equipamentos de usuários remotos ou de equipamento para teste deverá ter aprovação da autoridade competente. uso de recursos e inspecionando arquivos. folders e outros. 2. em preservar o sigilo das informações. sanções. 8 . Prestadores de serviços eventuais que não tenham contrato assinado deverão assinar documento garantindo a segurança das informações das bases de dados antes de terem . acessos. Funcionários e prestadores de serviços eventuais que acessam as instalações de processamento da informação da Secretaria de Receita devem se comprometer. acompanhando rotineiramente.Um plano de contingência deverá ser elaborado e mantido a fim de possibilitar a restauração imediata dos serviços em caso de sinistro. palestras. 9 . 5.3. fraude ou uso indevido de instalações.O direito de acesso à informação está ligado à posição ocupada pela pessoa dentro das Secretarias de Receita ou fora dela. 7 . 10 . material explicativo.O Departamento Geral de Informática das Secretarias de Receita tem o dever de monitorar as informações disponíveis em todos os servidores e estações. e não à própria pessoa. 1. bem como monitorar toda a informação que trafega na rede.

7. Todo usuário do sistema deverá notificar o mal funcionamento de software à Gerência de Segurança. 4. como remoção e software suspeito sem a devida autorização da mesma. 9. prestador de serviço ou colaborador será responsável pela segurança das informações contidas na base de dados durante um período de tempo definido mesmo após o termino do contrato de trabalho ou de prestação de serviços na Secretaria de Receita.88 acesso as instalações nas quais ocorrem os processamentos visando garantir e proteger a integridade das informações armazenadas. 8. não devendo executar nenhum tipo de ação. Será proibida a instalação de quaisquer programas pelos usuários visando proteger a base de dados contra vírus ou instalação de softwares piratas. O gerente de cada área deverá constantemente supervisionar a atuação de sua equipe de trabalho certificando-se do uso e implementação das regras básicas de segurança da informação. 3. CPF . A Gerência de Segurança da Secretaria de Receita supervisionará a atuação de colaboradores novos e inexperientes com relação aos acessos a sistemas considerados de maior importância. prestadores de serviços e fornecedores (serviços e equipamentos) deverão ter seus dados de apresentação (identidade. 10. falhas ou mal funcionamento que possam ter impactos na segurança dos ativos organizacionais. Todo funcionário. CNPJ entre outros) e qualificação técnica e profissional confirmados e verificados. Será definido um processo disciplinar formal para tratar com os usuários que tenham violado as políticas e procedimentos de segurança estabelecidas e implementadas pela Gerência de Segurança. ameaças. Todos os usuários deverão ser treinados nos procedimentos de segurança e no uso correto das instalações de processamento da informação de forma a garantir a integridade das informações minimizando possíveis riscos de ataques e alterações em sua base de dados. 11. 12. Todo funcionário. colaborador. . 6. 5. Todas as regras e responsabilidades de segurança da Secretaria de Receita devem ser documentadas e divulgadas a todos que possuam acesso ao sistema em concordância com a Política de Segurança da mesma. Todos os usuários do sistema de informação devem estar conscientes dos procedimentos para notificação dos incidentes como violação de segurança.

A conta do usuário será bloqueada após três tentativas erradas de logon e somente será desbloqueada mediante autorização do Gerente de Segurança.com.4. isto é. e outros. 5. . Qualquer notícia recebida sobre vírus através do correio eletrônico. em 10 dias. com terminação . que não for do comitê antivírus. 5. A atualização do antivírus será feita de forma automatizada em todos os computadores da rede.pif. . 6.89 13. Será proibida a abertura de arquivos executáveis. caracteres especiais e números inviabilizando o uso de nomes de familiares ou datas que poderiam ser facilmente descobertas. 1. POLÍTICA DE SEGURANÇA LÓGICA Objetivo: Reduzir os riscos relacionados às configurações lógicas dos sistemas e acessos. recebidos por e-mail para impedir que estes arquivos transfiram para a rede algum tipo de vírus que possa prejudicar o sistema de informação. protegendo a base de dados de ataques de novos vírus. por falta de uso. 7. As senhas dos usuários do sistema de informações deverão ser trocadas a cada 30 dias e serão canceladas. A política antivírus será feita de modo sistemático através de e-mails semanais em forma de notícias.exe. As senhas deverão conter no mínimo oito caracteres entre letras maiúsculas e minúsculas. 4. além do sistema de defesa nos servidores. não poderá ser repassada adiante. 2. ou palestras. bat. . . visando manter a integridade da base de informações da Secretaria de Receita . As últimas 5 senhas deverão ser registradas na base de dados e não poderão ser repetidas pelos usuários do sistema de informação. 8. notas de esclarecimentos. Deverá existir um procedimento de orientação a todos os usuários do sistema de informação da Secretaria de Receita quanto ao acesso de recursos e serviços oferecidos na Internet quando os mesmos forem de procedência duvidosa ou desconhecida. 3. Deverá ser remetida para o Conselho de Segurança que analisará o conteúdo e remeterá notas esclarecedoras ao interessado.

O compartilhamento de arquivos. 11. 14. 18.90 9. Deverá ser implementada uma lista de procedimentos para o gerenciamento e controle do uso de mídias removíveis como fitas. Deverá ser elaborado um plano de contingência para recuperação de informações da base de dados da Secretaria de Receita em caso de ataques diversos. 10. 16. cartuchos e formulários impressos . 12. discos. 17. A utilização de sistemas ou de permissão de uso de microcomputadores deverá ser solicitada formalmente ao Departamento Geral de Informática. 19. As senhas não deverão ser compartilhadas ou anotadas visando proteger as informações do acesso de pessoas não autorizadas. Os microcomputadores em rede deverão possuir senha no setup e devem estar configurados de forma a não permitir o boot por unidade de discos flexíveis ou Cdrom. Os controles de falhas devem ser constantemente revisados e atualizados de modo a garantir a não ocorrência de falhas por repetidas vezes. 13. O usuário será automaticamente desconectado se ficar sem usar o sistema por mais de 15 minutos (time-out) para evitar o uso do mesmo por outro usuário que poderá estar mal intencionado quanto ao acesso e consulta das informações . ou desastres. Deverão ser estabelecidos procedimentos de rotina para execução das cópias de arquivos e disponibilização dos recursos de reserva. Deverá ser garantida e protegida toda infra-estrutura das redes físicas da Secretaria de Receita com intuito de proteger consequentemente as informações da rede lógica. 15. 20. diretórios e outros recursos só será efetuado por técnicos do Departamento Geral de Informática e de forma a não comprometer os requisitos mínimos de segurança. após registro no sistema de controles de help desk. O suporte a equipamentos de informática só poderá ser prestado por técnicos do Departamento Geral de Informática ou com o acompanhamento deste. Deverá ser instalado na rede um software para detecção de intrusos (IDS) para identificação de qualquer tipo de intrusão que possa prejudicar o sistema de informações da Secretaria de Receita.

4. 1. 3. Deverá existir um servidor RADIUS para autenticação de usuários visando oferecer maior segurança nos acessos remotos. . 2.5. Todos os funcionários ou prestadores de serviço deverão utilizar alguma forma visível de identificação e informar à segurança sobre a presença de qualquer pessoa não identificada ou de qualquer estranho não acompanhado. O acesso remoto deverá ser protegido por VPN e certificação digital (PKI). As portas de incêndio no perímetro de segurança devem possuir sensores de alarmes e mola para fechamento automático. O perímetro de segurança deve estar claramente definido e ser fisicamente consistente inviabilizando invasões por algum tipo de brecha ou falha .91 visando impedir a divulgação e exposição classificadas como sigilosas ou de acesso restrito. 6. 21. 5. 23. As Secretarias de Receita devem usar perímetros de segurança para proteger as áreas que contemplam as instalações de processamento de informações criticas ou sensíveis. Deverá existir uma supervisão/vigilância constante aos visitantes das áreas de segurança através de registro em livro específico no qual serão indicadas as horas de entrada e saída e a identificação do local (departamento/gerência) para onde se dirigiu o visitante em questão. As redes de computadores deverão ser protegidas por um firewall que seja um produto bem conceituado no mercado. 5. Deverão ser utilizados controles de autenticação para autorizar e validar qualquer acesso. Apenas pessoal autorizado poderá ter acesso às instalações de processamento de informações sensíveis. interligado a um sistema de IDS para reforçar a segurança. dano e interferência às instalações físicas da organização e à sua informação. 7. POLÍTICA DE SEGURANÇA FÍSICA E DO AMBIENTE EM CONFORMIDADE COM A ISO/IEC 17799:2000 Objetivo: Prevenir o acesso não autorizado. devidamente configurado e permanentemente atualizado. 22. sigilosas ou críticas.

17. sendo o mesmo registrado conforme orientação da Gerência de Segurança. geradores e no-breaks visando a continuidade da operabilidade de acesso às informações da base de dados. 12.92 8. Todo o material de entrada deve ser inspecionado contra potenciais perigos antes de ser transportado para a área na qual será utilizado. Qualquer equipamento de gravação. 13. O sistema de energia elétrica deverá incluir além de alimentação múltipla. Somente pessoal autorizado previamente pelas áreas de segurança da rede e das informações poderão ter acesso a área de manipulação e suporte (carga e descarga) externa ao prédio da Secretaria de Receita . Os arquivos e as listas de telefones internas que identificam os locais de processamento das informações sensíveis não devem ser acessados pelo público. Equipamentos conectados à rede local não poderão possuir placas ou hardware do tipo fax modem uma vez que a mesma pode servir como porta de entrada para possíveis ataques à base de informações da Secretaria de Receita. 20. Equipamentos como fotocopiadoras e máquinas de fax. só deve ser utilizado a partir de autorização da alta administração. Os equipamentos devem ser protegidos contra falhas de energia e outras anomalias na alimentação elétrica utilizando-se sempre UPS (no-breaks). . 11. vídeo. 10. seja fotografia. 16. sendo instaladas proteções externas principalmente quando essas portas e janelas se localizarem em andar térreo. 14. As instalações de processamento da informação gerenciadas pela Secretaria de Receita devem ficar fisicamente separadas daquelas gerenciadas por terceiros ou contratados eventuais. devem ser instalados de forma apropriada dentro de áreas de segurança para evitar acesso do público de modo a não comprometer a segurança da informação. Materiais combustíveis ou perigosos devem ser guardados de forma segura a uma distância apropriada de uma área de segurança. As portas e janelas deverão ser mantidas fechadas quando não utilizadas. som ou outro tipo de equipamento. Todo trabalho desenvolvido em área de segurança deverá ser supervisionado por um funcionário da Gerência de Segurança. 19. 18. 9. 15. Equipamentos de contingência e meios magnéticos de reserva devem ser guardados a uma distância segura para evitar danos que podem se originar em um desastre da instalação principal.

ou serem submetidas a proteção alternativa adequada. evitando que a ocorrência de falhas possa prejudicar o acesso à base de informações. 30. As linhas elétricas e de telecomunicações dos recursos de processamento da informação devem possuir aterramento. devem ser retiradas da impressora rapidamente. Todo equipamento deverá ter sua manutenção revista de tempos em tempos. Todos os microcomputadores em rede deverão possuir chave de segurança para travamento da CPU. . 22. por exemplo pelo uso de conduítes ou evitando a sua instalação através de áreas públicas. Equipamentos. onde possível. 34. Os cabeamentos elétricos e de telecomunicação que transmitem dados ou suportam serviços de informação devem ser protegidos contra interceptação ou dano. Os cabos elétricos devem ficar separados dos cabos de comunicação para prevenir interferências. terminais de computador e impressoras não devem ser deixados ligados quando não assistidos e devem ser protegidos com senhas. Papéis e meios magnéticos de computadores devem ser guardados em gavetas adequadas com fechaduras ou em outros itens de mobiliários seguros quando não estiverem sendo utilizados. chaves ou outros controles quando não estiverem em uso. segundo a orientação do fabricante do mesmo. 23. Informações sensíveis e classificadas. quando impressas. 29. 25. O cabeamento da rede deverá ser protegido contra interceptações não autorizadas ou danos. informações ou software não devem ser retirados da instituição sem autorização. 24. A sala do CPD deverá permanecer trancada com acesso livre apenas ao pessoal autorizado da Gerência de Segurança.93 21. portanto. 27. 26. 31. Computadores pessoais. 33. 28. 32. O uso de qualquer equipamento para o processamento das informações fora dos limites da Secretaria de Receita deverá ser autorizado pela alta administração da mesma. Deve-se usar uma cobertura adequada de seguro para proteger os equipamentos existentes fora das instalações da Secretaria de Receita. especialmente fora do horário normal de trabalho. Os equipamentos servidores e dispositivos que caracterizam o CPD deverão estar em uma sala devidamente climatizada com controle de acesso. o acesso por pessoa não autorizada ao interior do equipamento. não permitindo.

Todas as salas internas do CPD deverão possuir extintores para combate de incêndio elétrico (CO2/Pó químico). SANÇÕES Aos usuários que. Advertência escrita. 5. Suspensão do direito de uso de serviço da intranet. APLICABILIDADE A Política de Segurança das Secretarias de Receita será aplicável a todo funcionário ou prestador de serviço que tenha acesso às dependências da mesma. 39.94 35. . 5. O CPD deverá possuir um sistema de detecção/alarme e combate automático para caso de incêndio. e 40. caso necessário. de forma intencional ou não. Deverá existir um sistema de iluminação alternativa para o CPD e áreas de fuga. O backup dos dados deverá ser feito diariamente de forma incremental e semanalmente de forma completa.6. RESPONSABILIDADE Todo funcionário ou prestador de serviço das Secretarias de Receita será responsável pelo cumprimento das orientações estabelecidas na Política de Segurança. As mídias de backup deverão ser acondicionadas em cofre com características especiais para suportar incêndios e outros tipos de intempéries. 5. desrespeitarem as normas estabelecidas pelo Conselho de Segurança das Secretarias de Receita serão aplicadas as seguintes sanções: • • • Advertência verbal. contudo. 38.7. cabe aos gerentes de cada departamento o controle e o acompanhamento do cumprimento das mesmas. 36.8. 37. Todas as saídas de emergência deverão estar claramente identificadas e desimpedidas visando facilitar a fuga.

PLANO DE CONTINGÊNCIA O Plano de Contingência da Secretaria de Receita será formado por dois componentes distintos. os encarregados da segurança e outros membros do staff devem realizar um inventário dos recursos e. 5. A segunda seção é a identificação de possíveis ameaças às operações do site das Secretarias de Receita e as contramedidas existentes/propostas para cada ameaça. e • A terceira seção é o procedimento de resposta imediata documentando ações remediais a serem tomadas após a identificação das ameaças. de condescendência criminosa. O desenvolvimento e manutenção do plano de ação deve ser feito da seguinte forma: • O Gerente da Rede/Especialista em TI. O propósito do Plano de Ação para Emergências é prevenir e/ou limitar os danos aos recursos de informação. de violação de sigilo funcional entre outros estabelecidos no código penal.9. Ambos os planos ajudarão as Secretarias de Receita a proteger sua capacidade de processar dados. de extravio.1. que são o Plano de Ação para Emergências e o Plano de Recuperação de Desastres. e Demissão. Observação: A aplicação destas sanções não isenta o usuário da base de dados das Secretarias de Receita de sofrer outras penalidades previstas em Regulamentos Internos da Secretaria.1 Plano de Ação para Emergências O plano de ação é composto do seguintes itens: • • A primeira seção é um inventário completo de todos os recursos de informação e uma avaliação de sua criticidade. O propósito do Plano de Recuperação é restaurar de maneira segura as operações após a contenção dos danos. ou mesmo de sofrer processos penais por crimes de peculato.95 • • Suspensão do direito de uso de serviços oferecidos pela rede Secretarias de Receita por tempo determinado. 5. .9. sonegação e inutilização de livro ou documento.

eletricidade e internet.96 subseqüentemente. • O Gerente da Rede/Especialista em TI.2 Contagem dos Recursos e Avaliação de Criticidade A contagem dos recursos e avaliação de criticidade identificam todos os recursos de informação e depois documentam a criticidade dos mesmos. modems. armazenagem de mídia. determinar a criticidade de cada recurso identificado usando o formato fornecido mais adiante. o Plano de Ação deve ser atualizado para refletir tais mudanças. máquinas de fax. Para fins de uniformidade uma escala de 0 a 5 deve ser usada e definida da seguinte forma: 0 – a Secretaria pode funcionar indefinidamente sem este recurso 1 – a Secretaria pode funcionar até um mês sem este recurso 2 . 5. • • Sempre que houver uma compra significativa de novos recursos de informação. • O Gerente da Rede/Especialista em TI.a Secretaria pode funcionar até duas semanas sem este recurso 3 . A criticidade destes recursos deve ser determinada em termos de quanto tempo as Secretarias podem funcionar sem eles.9. Recursos também incluem serviços tais como telefonia. os encarregados da segurança e outros membros do staff devem formular um Procedimento Imediato de Resposta usando a informação fornecida neste documento. sistemas de controle climático. periféricos. os encarregados da segurança e outros membros do staff devem em seguida identificar as possíveis ameaças a estes recursos e as devidas contramedidas existentes ou propostas. documentação e pessoal.2.a Secretaria pode funcionar até um dia sem este recurso 5 . usando o formato fornecido neste documento.a Secretaria pode funcionar até uma semana sem este recurso 4 .a Secretaria pode funcionar até quatro horas sem este recurso . e O Gerente da Rede/Especialista em TI e o encarregado da segurança devem rever anualmente o conteúdo deste plano e fazer as devidas mudanças sempre que necessário. Os recursos identificados devem incluir hardware e software.

Esta lista tem como objetivo servir de base para a identificação das ameaças existentes nas Secretaria de Receita em geral. 1. Identificação de Ameaças e Contramedidas Ameaça é qualquer circunstância ou evento com potencial para comprometer e/ou interromper as operações diárias de uma instituição. Monitor Pentium/800 server: 128MB RAM. .44MB FD. 9GB HD.97 O quadro é um exemplo de como pode ser feita a contagem e classificação de recursos: CRITI 4 3 2 4 4 1 4 5 5 4 3 QUANT 1 1 5 3 5 2 10 1 1 2 4 DESCRIÇÃO DO RECURSO Pentium/800 server: 128MB RAM. e relacionadas a suporte. Ameaças são concretizadas quando uma ou mais vulnerabilidades são exploradas.44MB FD. Ameaças são vistas como sendo de natureza física. A seguir encontra-se uma lista abrangente de ameaças divididas em três categorias distintas. Esta lista não tem a pretensão de ser exaustiva.2.9. Os sites da Secretaria de Receita tornam-se vulneráveis quando contramedidas não forem implementadas para impedir ou diminuir o impactos de todas as ameaças identificadas. 14GB HD. ambiental. Há várias outras possíveis ameaças particulares a cada unidade das Secretarias de Receita. Monitor CD-ROM 10BASE-T Transceiver HP Laserjet 4500 32 bit NIC card (extra) MS Office 97 Serviço de telefonia Eletricidade Pessoal operacional Extintores de incêndio (água) Tabela 3 – Contagem de Recursos 5. 1.

Temperaturas instáveis .Explosões .Derramamento/queda .Fogo .Poeira .Falha no sistema de telefonia Tabela 4 – Identificação de Ameaças Cada Secretaria de Receita deve escolher a lista de ameaças que diz respeito a qualquer recurso de informação em sua localidade.Extorsão .Roubo . Após a identificação de todas as possíveis ameaças. As Secretarias de Receita devem fazer uma distinção entre as contramedidas existentes e as propostas.Montagem/Armazenamento incorreto .Fumaça .Raios .Riscos de acidentes de viagem .Vazamento de água FÍSICAS . independente das contramedidas.Interferência eletromagnética .Umidade excessiva .Supressão Inadequada de Incêndio RELATIVAS A SUPORTE .Insetos .Queda de energia . Caso as contramedidas propostas não possam ser implementadas em tempo.Vapores químicos .Acesso não autorizado às instalações .Indisponibilidade de pessoal .Vandalismo .Roedores .Transporte inadequado de equipamentos . a Secretaria de Receita deve avaliá-las e delinear todas as contramedidas existentes ou propostas para cada ameaça aos recursos.Descarga Eletrostática .Sabotagem .98 AMBIENTAIS .Terrorismo/ameaça de bomba .Manutenção imprópria .Enchente .Condições climáticas adversas . .Ruído elétrico/aterramento inadequado . uma solução provisória deve ser identificada.Ativação de sprinklers .

Possuir um gerador para suportar todo o prédio. Pára-raios instalados no teto. Colocar telas em todas as portas e janelas. 2. Fazer limpeza completa do prédio. Explosão 3. ***Propõem-se que eletricistas e o pessoal de manutenção dos computadores revisem e consertem todo o aterramento. Todos os extintores de incêndio com água devem ser removidos da sala do servidor. A área de armazenagem deve ser fora da sala do computador com acesso e temperatura controlados. Raio 4. Roubo 16. Extintores de incêndio disponíveis em locais de fácil acesso em todo o prédio.99 Mostramos a seguir o exemplo de uma relação das ameaças e suas contramedidas: AMEAÇA 1. Fogo CONTRAMEDIDA Ter um sistema de sprinklers espalhados por todo o prédio.9. Acesso não autorizado 11. Manter trancadas as áreas de acesso. Ter todos os equipamentos instalados corretamente para reduzir a possibilidade de pancada ou queda. Montagem/ Armazenamento Incorreto 14. Todos os equipamentos devem ser posicionados longe de áreas com muito movimento. Insetos 7. . Supressão Incorreta de Incêndio Tabela 5 – Ameaças e Contramedidas 5. Colocação de trancas em todas as áreas de acesso. Ter um acordo com outra organização onde uma apóie a outra em caso de explosão. **Propõe-se a instalação de equipamento de identificação e combate a incêndio na sala do servidor. Detetores de fumaça em todo o prédio. **Propõe-se a instalação de UPS para os servidores. Filtros de ar instalados na sala do servidor e trocados mensalmente.2 Procedimento de Resposta Imediata O propósito do Procedimento de Resposta Imediata é limitar os danos no caso de uma ameaça contra um recurso de informação se concretizar ou ser iminente. Este procedimento deve documentar ações corretivas em ordem de execução e indivíduos e/ou organizações especificas a serem contatadas. Manutenção preventiva com limpeza de todo o equipamento. Aterramento inadequado 9. Colisão 15. Queda de energia elétrica 8. Fazer uma lista com os números de telefone do pessoal de operações e suporte para os casos de emergência. Ativar alarmes fora do horário de expediente. Fumaça 5. Poeira 6.** Solução provisória – instalação de extintores de dióxido de carbono na sala do servidor. Indisponibilidade de pessoal 10.

5. bombeiros e hospitais locais. queda de energia. pois vêm do verbo latino auditare. . O propósito deste plano é reduzir o impacto de um desastre através de uma rápida recuperação. A recuperação é efetuada por meio de coordenação e efetiva utilização de todos os recursos de informação disponíveis. do encarregado da segurança de sistemas. Este plano prevê uma resposta regional ou global a desastres através de esforços combinados entre as Secretarias de Receita.100 No mínimo as seguintes informações devem ser incluídas no procedimento de resposta imediata e verificadas a cada três meses: 1) Instruções detalhadas das ações corretivas para as ameaças existentes (tais como fogo. do pessoal operacional. A auditoria tem o papel de colher informações e transformá-las em conhecimento. AUDITORIA Auditar e ouvir são sinônimos. a fim de transformá-las em correções ou melhorias deste processo. do gerente da rede. pois a eficácia administrativa está na aplicação dos conhecimentos continuamente adquiridos. A eficácia da auditoria dependerá de sua continuidade e de seu dinamismo em acompanhar um processo em seu desenvolvimento. É a principal auxiliar na administração de um sistema de dados. Este conceito incentiva o apoio mútuo entre as unidades sem incorrer em custos adicionas substanciais. portanto auditoria é ouvir as informações sobre um processo. Auditar um processo. 5. é gerar conhecimento de suas várias etapas. e 3) Número de telefone da polícia. entre outros).10.3 Plano de Recuperação de Desastre Este é um plano que facilita a segura restauração das operações do sistema após a concretização de uma ameaça e a contenção dos danos. números de telefones de emergência do encarregado de ativar o plano de contingência. 2) Os nomes.9. vazamento de água. Esta resposta deve adotar o conceito de compartilhamento e/ou redirecionamento de recursos sobressalentes de informação entre as diversas unidades das Secretarias de Receita. e do pessoal de manutenção dos sistemas.

é necessário obter informações sobre o sistema com usuários.Formação da Cultura de Segurança Para um processo de auditoria em uma instituição pública. pois nos garante a aplicação limpa e didática da ação auditora. 5.1. este trabalho tem como base as recomendações ISO/IEC 17799:2000 para auditorias e apresenta em sua metodologia sugestões de diversos autores citados no decorrer do desenvolvimento. Para adequação da auditoria de sistemas de dados a uma política correta de segurança. .10. auditá-los. Devem existir controles para salvaguardar os sistemas operacionais e ferramentas durante as auditorias de sistemas. aplicados à área de segurança de rede no ambiente de uma instituição tributária. Recomendações ISO/IEC 17799:2000 A auditoria tem com objetivo: Maximizar a eficácia e minimizar interferência no processo de auditoria de sistemas. Estas três primeiras diretrizes são as máximas que devem reger toda ação de aplicação de auditoria em qualquer tipo instituição. dados. como a forma mais eficaz de conhecer o processo e os seus procedimentos.101 Figura 13 . Proteção também é necessária para salvaguardar a integridade e prevenir o uso impróprio das ferramentas de auditoria. ou melhor. equipamentos e ambiente.

102 As auditorias requerem atividades. ampliando a troca de informação e conhecimento sobre o modus operare do processo. que disponibilizam os seus serviços a empresas contratantes.10. Requisitos adicionais ou especiais devem ser identificados e acordados. dada apropriada cumplicidade adquirida no processo auditado. Os recursos de tecnologia para execução da verificação devem ser identificados explicitamente e tornados disponíveis. A melhor maneira de se colherem informações de um sistema é com as pessoas que estão vivenciando o processo atual do sistema de dados e também com aquelas que têm . Tipos de Auditoria Propostos Aplicação de Auditoria Interna e Externa tem sido empregada com bastante êxito em várias empresas privadas ou públicas. As auditorias internas são mantidas com recursos e funcionários da própria empresa. envolvendo verificações nos sistemas operacionais que devem ser cuidadosamente planejadas e acordadas para minimizar riscos de interrupção dos processos do negócio. Requisitos de auditorias devem ser acordados com a administração apropriada. As normas ISO/IEC 17799:2000 citadas anteriormente harmonizam a ação auditora ao ambiente operacional auditado. que devem ser apagadas quando a auditoria for finalizada. Todos os procedimentos. A verificação deve ser limitada para acesso ao software e aos dados somente paraleitura. 5.2. facilitando os ajustes e correções de falhas. Estas últimas normas a partir de seus registros e documentos darão o subsídio para debates e discussões que irão aprimorar as diretrizes e normas da política de segurança no decorrer do tempo. respondendo dinamicamente às ameaças e riscos que futuramente poderão surgir. requerimentos e responsabilidades devem ser documentados (ISO/IEC 17799:2000). Escopo da verificação deve ser acordado e controlado. Auditorias externas são formadas por firmas especializadas em auditoria de sistemas. Outros acessos diferentes de apenas leitura devem somente ser permitidos a cópias isoladas de artigos do sistema. Todo o acesso deve ser monitorado e registrado de modo a produzir uma trilha de referência. em sua maioria da área de informática.

interna e externa.10. com especialização em sistemas. uma vez que se dedicam com exclusividade a este ramo de negócio. Esta constitui a auditoria de melhor proveito para colher informações e adquirir conhecimentos sobre sistema de informação de dados. como condição sine qua non à continuidade do negócio. por isso a necessidade de correção freqüente e continuada de seu sistema de segurança. O emprego das duas auditorias. atuam muito rapidamente nos casos de emergência. As auditorias interna e externa devem estar ligadas hierarquicamente ao Comitê de Segurança. Podem somar conhecimento adquirido por experiências em outras empresas e através de altos graus de especialização e de renovação constante do conhecimento. são as guardiãs dos vários planos de segurança estabelecidos pela organização. devido à superposição de responsabilidades e uso comum de recursos. são fortes fontes de consulta atualizada. mas comumente podem ter um ou outro funcionário ligado às áreas em questão. Comumente se espera uma maior objetividade por partes destas empresas. na sua maioria do setor de informática. é chamado de auditoria articulada. Quando Devem ser Feitas as Auditorias A auditoria advém da necessidade de que um sistema de dados seja seguro agora e continue sendo seguro no futuro. As equipes auditoras internas são compostas por funcionários. que trabalham em firmas de auditoria. Seus relatórios e documentos são de uso exclusivo deste comitê. o qual poderá convocá-las ou dissolvê-las. principalmente nos sistemas muito especializados.103 muita experiência neste tipo de processo e que vivam profissionalmente de organismos especializados em auditorias que capturam estes tipos de informação nas diversas empresas auditadas e se atualizam constantemente com as inovações do mercado. Isto dependerá de muitos fatores. tais como grau de conscientização e aprendizado de usuários e administradores e da conceituação da política . são mais econômicas pois seus recursos são menos onerosos. principalmente em se tratando de áreas de maior risco. Nas auditorias externas a equipe é formada por funcionários com dedicação exclusiva.3. têm como atuar periodicamente realizando revisões globais. É evidente que não poderá haver regra de periodicidade muito rígida para que sejam feitas estas auditorias. 5. As auditorias internas têm algumas vantagens importantes: não são tão perceptíveis aos funcionários quanto as auditorias externas. ponto de apoio e base para as auditorias externas.

a complexidade e o corpo administrativo devem ser considerados para a decisão de periodicidade para auditorias agendadas. As auditorias emergenciais devem ocorrer logo após o incidente de segurança. Redes grandes: 24 meses. Como Auditar A preparação da auditoria passa pela criação de um ambiente propício à sua implementação. O estado crítico.10. • • • Estações de trabalhos: entre 12 a 24 meses. e as pequenas: 12 meses. . Serão usadas algumas recomendações de Wietse Venema & Dan Farmer (1996) para distribuir as Auditorias em relação ao tempo: • • • Antes do funcionamento da rede. dos sistemas lógicos. físicos e ambientas das unidades de informação.104 de segurança empregada. e Auditoria Emergencial. devendo-se fazer primeiro uma análise dos estragos. já adequando As auditorias agendadas devem ser continuadas de acordo com as necessidades e padrões de segurança assegurados a uma redução de riscos de incidentes de segurança na rede. no qual devemos desenvolver o comprometimento da alta gerência à sua implantação como premissa para êxito do empreendimento. O comprometimento é expresso em documento onde constam as principais diretrizes da política de segurança. Alguns programas de integridade podem ajudar na identificação de mudanças ocorridas. como seu objetivo em contexto aos objetivos estratégicos e dos negócios da Secretaria de Receita como um todo. e riscos internos e externos. 5. através da verificação de integridade do sistema antes do acidente. Agendadas de manutenção. Também nas gerências imediatas e subalternas deve haver comprometimento como reforço adicional. e Firewall: a cada 6 meses ou menos. de Na auditoria antes do funcionamento deve-se fazer uma análise do grau politicamente e fisicamente a rede para a redução dos riscos de quebra de segurança. conscientização e vulnerabilidade.4. ameaças.

Durante a entrevista deve incentivar a oportunidade ao entrevistado de dar sugestões a problemas específicos. mas é um contato onde não é necessária a presença do entrevistado. Na apresentação o entrevistador deve atenuar a natural ansiedade do auditado. Nas entrevistas de contato direto pode-se estabelecer de maneira mais fácil um contado amistoso com o auditado.105 O engajamento dos funcionários é premissa complementar de uma boa auditoria. A remessa de carta via correio não pode ser considerada uma entrevista. debates ou outras formas didáticas a fim de proporcionar o desenvolvimento de uma cultura da necessidade de auditoria permanente e atuante como fonte de alimentação da política de segurança. pois há uma redução considerável de custo nestes casos. A habilidade do entrevistador é de suma importância para este clima. pois haverá novos encontros em outras ocasiões. É essencial o desenvolvimento da habilidade em entrevistas. Na despedida deve lembrar que não estão encerrados os contatos. rotinas e sistemas. Comumente é usada quando o universo é muito grande e disperso geograficamente. . contato telefônico e contato direto. já que auditorias são instrumentos contínuos de melhoria do sistema e aperfeiçoamento da política de segurança. O contato telefônico atinge um grande número de pessoas em um tempo de trabalho curto. em cada uma das etapas do processo em abordagem. pois o tempo deve variar entre 30 a 15 minutos sendo o ideal apenas 15 minutos. As modalidades de entrevistas podem ser: contato pelo correio. A equipe de auditoria. rotinas e sistemas. que proporcionará as trocas de informação sobre os procedimentos. onde se desenvolve um ambiente propício à confiança e cooperação. mas o número de respostas é muito baixo dificultando a análise dos resultados obtidos. em decorrência dos serviços que está prestando. mas perde a observação do entrevistador das reações não verbais do entrevistado e também o calor humano que é muito importante para estabelecimento de um ambiente de cooperação mútua entre auditor e auditado. estudo dirigido. Deve ser feito através de conferências explicativas. resumindo as observações e recomendações. discutindo os achados. A cada término de entrevista devem-se recapitular perguntas respondidas e as informações obtidas que serão devidamente registradas e mostradas ao entrevistado como sua contribuição à auditoria. passa a maior parte do tempo falando com pessoas sobre procedimentos.

O segundo ponto. Internal ControlIntegrated Framework (COSO 1992). como o do Information Systems Audit and Control Foundation. o do Committee of Sponsoring Organizations of the Treadway Commission. A metodologia CobiT é orientada em dois pontos de apoio: Objetivos ou Metas do Negócio e a Governança em TI. procedimentos. No primeiro ponto estão as metas das Secretarias de Receita que são a sua arrecadação e a distribuição do erário público nas diversas secretarias. A metodologia empregada pela auditoria CobiT incorpora várias fontes conceituais de outras metodologias como a SAC e a COSO.5. . adicionando valor enquanto balanceia risco verso retorno em TI e seus processos (CobiT. relatos e melhorias no controle interno em TI.10. É uma parte integrante de governo da empresa. a Governança de TI: Uma estrutura de relações e processos para dirigir e controlar a empresa a fim de alcançar as metas do negócio. de modo que o objetivo dos negócios seja alcançado. 1995). o do American Institute of Certified Public Accountant. Governança de TI é da responsabilidade da alta direção e da administração executiva. É composta pela liderança da estrutura organizacional e o processo que garante que a TI da organização se apóie e se expanda às estratégias e aos objetivos da organização.106 5. o do Institute of Internal Auditors Research Foundation. A definição conceitual CobiT adapta o controle do COSO: As políticas. o Systems Auditability and Control (SAC 1991. Pelo menos cinco documentos foram publicados por instituições diferentes com o intuito de definir acessos. e que eventos não desejados sejam evitados ou detectados e corrigidos. revisada em 1994). e a sua emenda (SAS 55/78. 3ª edição em julho de 2000). 1998. determina um início de reengenharia nos negócios se necessário. o Consideration of the Internal Control Structure in a Financial Statement Audit (SAS 55. Metodologia Nesta última década várias metodologias de auditoria foram criadas dada a necessidade de desenvolvimento da política segurança em TI. o Control Objectives for Information and related Technology (CobiT 1996. que definidos com uma orientação aos processos. que por sua vez absorveram os conceitos de controle interno do SAS 55/78.2000). práticas e estruturas organizacionais são orientadas para prover uma razoável garantia.1988). mostraremos o quadro comparativo de suas diferenças no Anexo I. Os objetivos de controle se relacionam de maneira clara e distinta com os objetivos do negócio.

107 A metodologia CobiT identifica uma ferramenta que chama de Marco Diferencial de quatro domínios que está dentro da Governança de TI que são: • • • • Planejamento e organização. e Monitoração. Ainda foi desenvolvido um instrumento guia de auditoria para cada um dos 34 objetivos de controles. assegurando um exame detalhado dos processos de TI. Os objetivos detalhados. que cobrem toda a estrutura no aspecto de informação e seu suporte tecnológico. . Suporte e distribuição. um total de 34 objetivos. A metodologia CobiT identifica os processos de TI a cada domínio. os chamados de objetivos de controles de alto nível. Aquisição e implementação. num total de 318. proporcionam à administração da empresa um panorama de real cumprimento das normas e regras ou recomendações e aprendizados para desenvolvimento de uma cultura forte em TI.

108 Figura 14 – Estrutura da Metodologia COBIT Fonte: Implementation Tool Set CobiT. CobiT Steering Committee and the IT governance Institute . 3rd Edition Boston July 2000.

confidencialidade e autenticidade das informações exige das organizações uma meticulosa análise de vulnerabilidades e riscos que ameaçam suas bases de dados. É importante ressaltar que tivemos algumas limitações para a realização deste trabalho. Enfatizamos a necessidade de criação e implementação importância de que todo este processo seja constantemente auditado. Para apresentação deste tema. métodos de controle através de auditorias e um plano de contingência que viabilizasse a continuidade dos negócios em caso de desastres ou qualquer tipo de infortúnio. faz-se necessário que. seja implementada uma política de segurança adaptada à sua realidade. CONCLUSÃO Com base no que foi apresentado e desenvolvido neste trabalho constatamos que a implementação de uma política de segurança de informação nas organizações como as Secretarias de Receita tornou-se fundamental. tomamos como base o sistema CobiT. Mecanismos e ferramentas de defesa tais como os apresentados neste trabalho foram apresentados com o intuito de garantir a proteção das informações consideradas sigilosas ou de acesso restrito. procurou-se sugerir às Secretarias de Receitas recursos de proteção das informações. para cada Secretaria. ameaças e vulnerabilidades a que este tipo de organização esta sujeita. Nossa base de estudo para coleta de dados foi a Secretaria de Receita de BrasíliaDF. A preocupação com a integridade. Constatamos que a prática constante de auditorias internas e externas é o modo mais eficaz de ouvir e responder ao dinamismo de um processo de TI. O CobiT é bastante novo e pouco conhecido. elaborado e inspirado na norma ISO/IEC 17799:2000. não sendo encontrado muito material a seu respeito. Neste trabalho. características próprias e situações encontradas durante o processo de levantamento de informações não puderam ser divulgados para garantir e resguardar o funcionamento e segurança das próprias Secretarias de Receita. Assim.109 6. pois muitos detalhes técnicos. procedimentos de usuários. a . baseando-nos no levantamento dos riscos. A ISO/IEC 17799:2000 serviu como principal fonte de referência e base para o trabalho no que se refere aos conceitos envolvidos na implementação de uma Política de de planos de ação emergenciais e recuperação de informação em caso de desastres reforçando ainda. distribuída por todo território nacional.

ou seja. englobando os três elementos chaves da segurança: pessoas. em sua maioria. 80% dos mesmos foram modificados e adaptados ao contexto do trabalho. Não há um detalhamento dos procedimentos de segurança referentes à parte de software e acesso lógico à rede. uso de firewall. pioneiro na área de segurança de informações para instituições governamentais que tratem de tributação e arrecadação. proporcione a criação de um ambiente de informações resguardadas e protegidas. Apesar de ter sido primordial para a realização deste trabalho. anti-vírus. a sugestão de uma política de segurança eficaz para as Secretarias de Receita . Os controles referentes às partes de segurança física e aplicada a pessoas foram. enfim. a responsabilização dos usuários do sistema possibilitaram que o objetivo principal do trabalho fosse alcançado. retirados da ISO/IEC 17799:2000. a proposição de uma política de segurança para as Secretarias de Receita. Com relação a parte de segurança lógica. a mais completa base de orientação para formação e consolidação de um programa de Política de Segurança. Acreditamos que o uso contínuo de auditorias bem estruturadas e com metodologias adequadamente empregadas. juntamente com o estabelecimento de controles baseados na norma ISO/IEC 17799:2000. softwares especializados. A apresentação das ferramentas de segurança como métodos de criptografia. dados e ambiente físico. Apesar da necessidade de complementações. a ISO/IEC 17799:2000 é. Diversas outras fontes bibliográficas contribuíram para a consolidação do trabalho. não tendo sido ainda bastante divulgada para as organizações. o que de certa forma limitou nosso âmbito de pesquisa. que este trabalho. não poderia ser exclusivamente baseada na ISO/IEC 17799:2000.110 Segurança de informação. Existem poucos trabalhos para a consulta no aspecto da segurança de informação. atualmente. Esperamos. . Em virtude desta distribuição. análises de riscos e vulnerabilidades de uma base de dados e principalmente na parte de controles de segurança física e pessoal. Cerca de 30% dos mesmos foram adaptados. sirva de base e fonte de consulta para outros. a norma ISO/IEC 17799:2000 apresenta o tema de forma distribuída em sua maior parte. a norma ISO/IEC 17799:2000 é uma fonte de informações recente. abordando separadamente os aspectos de segurança de senhas e processos criptográficos. Com relação aos controles lógicos.

Cooperation on Security of Information Systems Joint Task 01. 9. Lei No.111 REFERÊNCIAS BIBLIOGRÁFICAS A Comparison of Internal Controls: CobiT®. Bowen. U. e Lei No. Acesso em junho de 2001.Itgovernace. Department of Commerce. Computer Crime and Security Survey. CPA. IT Governance Institute..htm. Colbert.ca.org e http://www. National Institute of Standards and Technology. Constituição Federal.069 de 1991 sobre pornografia infantil. 8.cse. Board Briefing on It Governance. Common Criteria Overview.2001. Orange Book: 26 December 1985 Disponível em http://www.nscs.html.D. Acesso em março de 2001. Disponível em http://www. Version b.S. (ISACF). CPA. Acesso em março de 2001. Information Systems Audit and Control Foundation. Ph. Ph. Acesso em abril de 2001. .º 7.ncsc. Disponível em: http://www. Department of Defense Trusted Computer System Evaluation Criteria.mil/tpep/library/rainbow/ 5200. Special Publication 800-12.isaca. CSI/FBI . Information Systems Audit and Control Association (ISACA).html.D..28-STD. 2001.vol 2 Disponível em ftp. Abril 1993.mil/tpep/library/ ccitse/cc_over. Arquitetura de Segurança. COSO and SAS 55/78. Disponível em http://www. Foundations for the Harmonization of Information Technology Security Standards. An Introduction to Computer Security: The NIST Handbook. 2001.org/bkr_cbt3.dnd. Revised Draft. BRASIL. Canadian Trusted Computer Product Evaluation Criteria – (CTCPEC) vol1.gov.716 de 1996 sobre discriminação racial.radium.296 de 96 sobre interceptação telemática (grampo). Lei n. Acesso em Março de 2001. Desenvolvido pela HP para o Tribunal Superior Eleitoral.isaca.radium. Disponível em: http://www.org Acesso em abril de 2001. By: Janet L. e Paul L.nist. SAC.

Acesso em maio de 2001. Projetos de Redes Top-Down. 1999.itsec.com/kbase/underground/hacking/fcsvol1. Disponível em http://www. First edition 10/12/2000. Disponível em http://csrc. 6ª Ed. NJ: Pearson.gov/isptg. 1996. Acesso em março de 2001. 1ª Edição. Vol. Claudia.Acesso em abril de 2001. 3rd Edition Boston July 2000.uk. 1997.nist.com/kbase/underground/hacking/fcsvol2. ISO/IEC 17799:2000.html. GUTTMAN.Part 1: Code of Practice for Information Security Management. Ed.iso.cert-rs. Security in Computing. United States General Accounting Office Disponível em http://www. . Acesso em abril de 2001.tche. Rede Tchê: Segurança de Dados. Information Security Risk Assessment. Disponível em http://www..org. Information Technology Security Evaluation Criteria-ITSEC. BAGWILL. OPPENHEIMER. Comunicação de Dados.htm. Universidade Federal do Rio Grande do Sul. Department of Trade and Industry. Segurança e Auditoria da Tecnologia da Informação. Charles. Disponível em http://www. Priscila.gao.br/servicos/infosec. 1999.112 DIAS.undergroundnews.undergroundnews. Robert. PFLEEGER. Barbara.gov. Ed. http://www. Internet Security Policy: A Technical Guide NIST Special Publication 800-XX. Information Security management . HELD.ch.org e http://www.isaca. Acesso em maio de 2001. Disponível em http://www. Rio: Axcel Book. 1 e Vol 2 . Rio: Campus.Itgovernace. Acesso em maio de 2001. BS 7799-1:1999.2.gov. 1a. Acesso em abril de 2001. Federal Criteria of Information Technology Security. 2000. July. Gilbert. CobiT Steering Committee and the IT Governance Institute. Rio de Janeiro: Editora Campus.htm /http://www. Implementation Tool Set CobiT.

113

RFC 2196 – Site Security Handbook, 1997. Disponível em http://www.-rn.informatik.unibremen.de/home/ftp/doc/rfc/cfc2196.txt. Acesso em março de 2001. Risk Management Guide. NIST Special Publication 800-30. First Public Draft June 2001. Disponível em http://www.nist.gov. Acesso em julho de 2001. ROBERTI, MICHAEL. Building an Enterprise Security Architecture. Sans Institute. Abril, 2001. www.sans.org. Acesso em junho de 2001. Seguridad Informática. Tema: Hackers. Disponível em http://www.monografia.com em Maio de 2001. Técnicas de Entrevistas para Auditorias. Brasil – DF TCU http://www.tcu.gov.br. Acesso em maio de 2001. TERADA, Routo. Segurança de Dados: Criptografia em Redes de Computador. 1ª Ed. São Paulo: Editora Edgard Blücher, 2000. VENEMA, Wietse em april de 2001. Xcert PKI Guide 2000. Disponível em www.xcert.com. Acesso em março de 2001. ZACKER, Craig et DOYLE, Paul. Redes de Computadores: Configurações, Manutenção e Expansão. 1ª Edição em Português. São Paulo: Makron Books, 2000. & FARMER, Dan. Security Auditing & Risk Analysis. April 1998. Disponível em

30th,1996. Santa Clara (CA). Disponível em http://www.porcupine.org/auditing. Acesso

114 ANEXO I

Comparação de Conceitos de Controle em Auditoria1
Instituições
Audiência primária

COBIT (1996)

SAC(1991)
Auditores internos

COSO(1992)
Administração

SAS 55(1988) /78(1995)
Auditores externos

Administração, usuários e auditores de sistema informação Controle Interno Conjunto dos visto como processos, inclusive Políticas, Procedimentos, Práticas, e as Estruturas de Organização Objetivos da Operações Efetivas Organizacional em & Eficiente, Controle Internos Confidencialidade, Integridade e Disponibilidade da Informação. Relato financeiro confiável, e Obediência às leis & regulamentos Componentes ou Domínios: Domínios Planejamento e Organização, Aquisição e Implementação, Suporte e Distribuição, e Monitoramento Focos Tecnologia da Informação Por um período tempo Administração

Conjunto de Processos, Subsistema e pessoas

Processo

Processo

Operações Efetivas & Eficiente, Confidencialidade, Integridade e Disponibilidade da Informação. Relato financeiro confiável, e Obediência às leis & regulamentos Componentes: Ambiente de Controle, Sistemas Manuais & Automatizados, Procedimentos de Controle Tecnologia da Informação Por um período tempo Administração

Efetividade de Controle Interna Responsabilidade para Sistema de CI Formato 187 páginas em 1193 páginas em quatro documentos 12 módulos
1

Operações Efetivas & Eficiente, Confidencialidade, Integridade e Disponibilidade da Informação. Relato financeiro confiável, e Obediência às leis & regulamentos Componentes: Ambiente de Controle, Avaliação de Risco Atividades de Controle, Informação & Comunicação, e Monitoramento Sobre toda a Entidade Por um tempo pontual Administração 353 páginas em quatro volumes

Operações Efetivas & Eficiente, Confidencialidade, Integridade e Disponibilidade da Informação. Relato financeiro confiável, e Obediência às leis & regulamentos Componentes: Ambiente de Controle, Avaliação de Risco Atividades de Controle, Informação & Comunicação, e Monitoramento Balanço Financeiro Por um período tempo Administração 63 páginas em dois documentos

A Comparison Internal Controls: CobitT®, SAC, COSO and SAS 55/78; By: Janet L. Colbert, Ph.D., CPA, CIA;and Paul L. Bowen, Ph.D., CPA, year 2001(http://www.isaca.org/bkr_cbt3.htm)

115

ANEXO II REQUERIMENTO Pelo presente requerimento, eu, (fulano de tal), solicito acesso aos Sistemas da Secretaria da Receita, declarando que utilizarei o mesmo somente no estrito cumprimento de minhas atividades profissionais estando de pleno acordo com as seguintes determinações: 1) Devo cumprir fielmente as normas, políticas, procedimentos e diretrizes da Secretaria de Receita destinadas à proteção de seus sistemas automatizados contra mal uso, abuso, perda ou acesso não autorizado. Compreendo que qualquer violação destes regulamentos podem resultar em ação administrativa, civil ou processo criminal, ou em demissão; 2) Devo proteger incondicionalmente o sigilo de minha senha. em caso de suspeita de comprometimento de seu segredo devo reportar o fato a meu supervisor ao administrador da rede; 3) Não devo compartilhar meu identificador de acesso (id) e senha com nenhum outro indivíduo; 4) Nunca devo transcrever minha senha em dispositivos ou locais que possam ser facilmente encontrados por outrem; 5) Devo criar e usar senhas com no mínimo 08 caracteres compostas de letras maiúsculas, minúsculas, caracteres especiais e números, devendo ainda, trocá-la no intervalo de tempo determinado pelo sistema; 6) Devo desconectar-me do sistema (logoff) sempre que necessitar de um afastamento de minha estação de trabalho por um tempo superior a 10 minutos; 7) Independente do motivo, devo notificar imediatamente ao administrador da rede quando não necessitar mais de acesso aos recursos do sistema; 8) Devo acessar somente os aplicativos aos quais tenho permissão autorizada pelo gerente da rede e utilizar os computadores da Secretaria de Receita somente para fins lícitos; 9) Estou proibido de usar a informação obtida através do acesso aos sistemas de computação da Secretaria para realização de ganho pessoal, lucro financeiro, ou publicação sem aprovação formal de meu superior; 10) Estou proibido utilizar os computadores da Secretaria para atividades ofensivas a meus colegas de trabalho ou ao público em geral, tais atividades incluem, mas não se limitam a: discursos sobre ódio, artigos que ridicularizem outras pessoas com base em raça, credo, religião, cor, sexo, deficiência física ou mental, nacionalidade, ou orientação sexual; 11) Estou proibido de acessar, criar, visualizar, guardar, copiar, ou transmitir por meio da rede da Secretaria de Receita, materiais contendo pornografia, apologia ao uso de drogas e armas, divulgação de jogos ilegais, atividades terroristas ou qualquer outra de natureza ilegal ou proibida.

_________________________ NOME

________________________ ASSINATURA

__________________ DATA

Paragrafo 6.116 ANEXO III ISO/IEC 17799:2000. e 7 . First edition 10/12/2000.

You're Reading a Free Preview

Descarregar
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->