Você está na página 1de 72

Guia de Segurança para Pequenas Empresas

Guia de Segurança para Pequenas Empresas Aumente hoje a segurança de sua rede Página 1
Guia de Segurança para Pequenas Empresas Aumente hoje a segurança de sua rede Página 1
Guia de Segurança para Pequenas Empresas Aumente hoje a segurança de sua rede Página 1
Guia de Segurança para Pequenas Empresas Aumente hoje a segurança de sua rede Página 1

Aumente hoje a segurança de sua rede

Página 1

Guia de Segurança para Pequenas Empresas Aumente hoje a segurança de sua rede Página 1

Caro Pequeno Empresário:

Hoje, mais do que nunca, as redes e a Internet são ferramentas vitais para os negócios de muitas pequenas empresas. Apesar de a conectividade ser indispensável para o sucesso comercial, estar mais conectado significa também estar mais vulnerável para ameaças externas. Grandes empresas possuem especialistas em segurança à sua disposição, mas é o próprio proprietário da pequena empresa quem toma as decisões sobre como proteger sua rede.

Portanto, é um prazer introduzir o Guia de Segurança para Pequenas Empresas— um Guia de Segurança desenvolvido pelo Microsoft Small Business Team. Este guia é excelente para demonstrar porque a segurança é tão importante para sua empresa e para descrever os passos que podem ser dados para aperfeiçoar a segurança de sua rede. Estes passos não são difíceis, caros ou complexos demais para quem é capaz de dirigir seu próprio negócio.

Atenciosamente,

é capaz de dirigir seu próprio negócio. Atenciosamente, Donald Wilson Presidente & CEO Association of Small

Donald Wilson Presidente & CEO Association of Small Business Development Centers

& CEO Association of Small Business Development Centers Small Business Development Centers A rede de Small

Small Business Development Centers

A rede de Small Business Development Center (SBDC) é um programa de parceria

unindo a iniciativa privada, o governo, instituições de ensino superior, e

organizações de desenvolvimento econômico sem fins lucrativos. A rede SBDC é

o maior programa de desenvolvimento econômico para Administração de

Pequenas Empresas nos Estados Unidos, utilizando fundos federais, estaduais e privados para oferecer assistência técnica e gerencial para ajudar os americanos a começarem, dirigirem e desenvolverem seus próprios negócios. Com quase 1000 centros em todo o país, o programa SBDC promove eventos presenciais para atender as necessidades de treinamento e orientação de mais de 650,000 pequenas empresas anualmente. Os centros SBDCs em todo o país são representados pela Association of Small Business Development Centers (ASBDC). Para saber mais sobre a ASBDC, visit e ww w.asbdc - us.org

Microsoft Small Business Center

O Microsoft Small Business Center é um recurso online criado para atender as

necessidades de pequenas empresas para desmistificar a tecnologia e ajudar os proprietários a tirarem maior proveito de seus softwares. Parasabermais, visite www.microsoft.com/smallbusiness/

Do Microsoft Small Business Team

Caro Pequeno Empresário:

Novos problemas relacionados à segurança, como vírus, hackers, e worms vêm sendo revelados em artigos todos os dias e destacam a importância das medidas preventivas. Estas são sérias ameaças com sérias conseqüências. Mesmo assim, muitas pequenas empresas ainda não tomaram medidas para proteger seus negócios. Em muitos casos, os proprietários destas empresas simplesmente desconhecem quais medidas tomarem ou por onde começar.

O Guia de Segurança para Small Business explica o que você precisa fazer para melhorar a segurança de sua empresa. O guia foi feito especialmente para o proprietário, não para um especialista na área, e explica detalhadamente as principais ameaças na segurança que a sua empresa enfrenta. Apesar de este assunto envolver detalhes técnicos, abordamos as questões em linguagem simples, e fornecemos detalhes adicionais para descobertas mais a fundo.

O Microsoft Small Business Team, em parceria com a ASBDC, tem o prazer de trazer a você o Guia de Segurança para Pequenas Empresas para ajudá-lo a proteger o seu negócio. Comece ainda hoje a implantar algumas das melhores práticas sugeridas aqui.

Atenciosamente,

das melhores práticas sugeridas aqui. Atenciosamente, Cindy Bates Gerente Geral, US Small Business Microsoft

Cindy Bates Gerente Geral, US Small Business Microsoft Corporation

Conteúdo

5

Este é o Guia Certo para Você?

6

O que Você Precisa Saber Sobre Segurança

17

Encontrando o Consultor Certo

21

10 Perguntas para Ajudá-lo a Proteger sua Empresa

24

Microsoft Windows® XP Service Pack 2

27

Sete Passos para Maior Segurança

27

Passo 1: Proteja seus Desktops e Laptops

34

Passo 2: Mantenha seus Dados Protegidos

38

Passo 3: Use a Internet de Forma Segura

40

Passo 4: Proteja sua Rede

44

Passo 5: Proteja Seus Servidores

47

Passo 6: Proteja suas Aplicações Line-of-Business

51

Passo 7: Gerencie Computadores a partir de um Servidor

53

Criando uma Política de Segurança

56

Criando um Plano de Segurança

59

Exemplo de Plano de Segurança: Adventure Works

70

Informações Online

Este é o Guia Certo para Você?

Segurança online e de computadores é uma preocupação crescente para

empresas de todos os tamanhos. Os problemas relacionados à segurança

variam de vírus a ataques automatizados à Internet, ao simples roubo,

resultando em perda de informações e de tempo. Os problemas relacionados

à segurança são freqüentemente abordados em artigos e reportagens, e a

maioria dos proprietários de pequenas empresas sabe que precisam tomar

medidas para proteger seus negócios da melhor forma possível. Aperfeiçoar a

segurança parece ser complicado, e é difícil saber por onde começar. Este guia

ajudará você a enfrentar estas questões.

Se você é proprietário ou responsável pelas políticas de segurança de uma

pequena empresa, este guia foi feito para você. Apesar do conteúdo técnico

de alguns tópicos, tentamos abordá-los usando uma linguagem simples e

indicamos onde encontrar mais informações técnicas caso necessite.

Este guia explica detalhadamente as ameaças de segurança enfrentadas pela

sua empresa e traz um questionário que introduz os conceitos que o ajudarão a

entender e definir suas próprias práticas de segurança. Você encontrará um

checklist que poderá seguir para aumentar a segurança (veja o quadro “Sete

Passos para Maior Segurança,” para um resumo dos passos, e leia a seção

“Sete Passos para Maior Segurança,” para um exame detalhado do checklist) e

conselhos para a criação de seu próprio plano detalhado de segurança.

Incluímos até um exemplo de plano para uma empresa fictícia chamada Adventure

Works.

Muitas das medidas explicadas

neste guia podem ser tomadas por

você mesmo. Entretanto, não hesite

em chamar um profissional caso

precise de suporte. Existem

consultores de segurança e de

tecnologia qualificados disponíveis

para ajudá-lo. Leia a seção,

“Encontrando o Consultor Certo”

para saber onde procurá-lo e o que

perguntar.

Sete Passos para Maior Segurança

1. Proteja seu Desktops e Laptops

2. Mantenha seus Dados Protegidos

3. Use a Internet de Maneira Segura

4. Proteja sua Rede

5. Proteja seus Servidores

6. Proteja suas Aplicações Line-of-

Business

7. Gerencie Computadores a partir do

Servidor

OqueVocêPrecisaSabersobreSegurança

Para compreender as ameaças que existem e como mitigá-las, é preciso ter algum conhecimento técnico. Não se

preocupe–seráomíniimonecessário.

Muitos proprietários de pequenas empresas acreditam que não precisam se

preocupar com a segurança de seus computadores e com a segurança online.

“Afinal de contas,” dizem, “quem iria querer afetar minha empresa quando existem

alvos muito maiores por aí?” Apesar de não serem atacadas tanto quanto as

grandes organizações, as pequenas empresas devem estar atentas existem três

fatores:

pequenas empresas devem estar atentas existem três fatores: • Pequenas empresas freqüentemente são mais afetadas

Pequenas empresas freqüentemente são mais afetadas por grandes ataques, como worms ou buscas por números de cartões de crédito. • A segurança está se tornando cada vez mais rígida nas grandes corporações, portanto as pequenas empresas estão se tornando um alvo tentador.

• Nem todas as ameaças para a segurança vêm de fora da sua organização.

Independente de como ou porque sua empresa foi atacada, a recuperação geralmente

demanda tempo e esforço consideráveis. Imagine se os seus sistemas de computadores

estiverem indisponíveis por uma semana. Imagine que você tenha perdido todos os dados

armazenados em todos os computadores de sua empresa. Imagine se o seu maior

competidor obtiver uma lista de seus clientes junto com os números das vendas e outras

informações. Quanto tempo levaria até que você percebesse isso? Quanto estas brechas

custariam a sua empresa? Dá para correr este tipo de risco?

É uma questão de bom senso. Você não sairia do escritório sem trancar as portas.

O mesmo vale para informações de segurança, e algumas medidas simples

podem tornar o seu sistema muito menos vulnerável. Os especialistas em

tecnologia transformam a segurança num bicho de sete cabeças. Felizmente,

proteger sua empresa é muito mais fácil do que você imagina.

É claro, não existe nada que garanta 100% a segurança.

No entanto, você pode alcançar um alto nível de segurança e estar preparado para o

caso de brechas. Avaliar adequadamente os riscos e as conseqüências em relação aos

custos de prevenção é um bom ponto de partida. Esta seção oferece uma visão geral

de alguns termos comuns relacionados à segurança e às redes para ajudar a

desmistificar o mundo da segurança computacional.

Um computador sozinho é uma coisa incrível – uma maravilha tecnológica. Mas é

ótimo para comunicação. Conecte dois ou mais computadores usando cartões de

rede e cabos (ou uma instalação sem fio), e você terá uma rede de área local (local

area network - LAN). Todos os computadores na rede podem compartilhar dados e

e-mails, bem como acessar recursos compartilhados como impressoras, modems e

conexões de Internet de banda larga. Conecte duas ou mais LANs, e você terá uma

rede de área ampliada (wide area network - WAN). Por exemplo, você pode

conectar dois escritórios em locais diferentes com uma linha dedicada para rápida

transferência de dados.

Uma internet (com “i” minusculo) é uma rede de redes. As informações de qualquer

computador de qualquer rede podem viajar pela internet para qualquer computador

em qualquer outra rede, como se a Internet fosse uma espécie de transportadora.

Pense na internet como um sistema de rodovias que ligam estradas locais.

A Internet (com “I” maiúsculo) é uma Internet global. Todos os computadores na Internet

se comunicam usando protocolos padrão para que as informações de qualquer

computador possam alcançar um outro computador qualquer na Internet. Aqui é

onde mora o perigo. Até conectar-se com uma rede pública, você estava

razoavelmente protegido de ameaças externas. Conectar-se à Internet pública é

como publicar seu nome, endereço e telefone e dizer: “Olha só, nós temos

computadores.”

Você sabia?

Fraudes relacionadas à Internet foram responsáveis por 55% das mais de 500.000 reclamações feitas em 2003 e por 45% no ano anterior, de acordo com a Federal Trade Commission. O valor médio das perdas das vítimas de fraudes pela Internet foi de

$195.

com a Federal Trade Commission. O valor médio das perdas das vítimas de fraudes pela Internet

Pacotes

As informações geralmente viajam através das redes em pacotes. Um pacote é

um aglomerado de dados mais um endereço e outras informações que indicam

à rede onde entregar aqueles dados. Tudo que viaja através da Internet é

dividido em pacotes: páginas da web, mensagens de e-mail, downloads, etc.

Pense no pacote como um circo na estrada. Você não pode colocar o circo

inteiro num caminhão. É preciso desmontá-lo, empacotar tudo, colocar em

veículos separados, informar todos os veículos para onde estão indo, e

montar tudo novamente assim que chegarem ao destino.

O envio de dados através de uma rede é similar. Dados muito grandes são quebrados em

séries de pacotes e remontados no destino. Conforme os pacotes viajam pela Internet, são

devidamente expostos a escutas.

Portas e Endereços

A cada computador numa rede é designado um número chamado de

endereço de IP. O endereço de IP define de maneira única aquele computador

na rede e fornece informações para que os pacotes cheguem aos seus destinos.

O endereço de IP é similar ao endereço de uma rua. Parte do endereço

identifica o segmento da rede do computador destino, e parte do endereço

define o computador em si.

Apesar de um endereço de IP se referir a um computador e a rede na qual está

o computador, as aplicações individuais naquele computador devem ser

identificáveis também. Pense nesta estrutura como um número de apartamento

associado ao endereço da rua: o endereço da rua indica o prédio, e o número

do apartamento indica o apartamento em si. O endereço de IP indica o

computador, e o número da porta indica o programa naquele computador.

Cada programa em um computador que envia e recebe dados através da

rede tem um número de porta especial. Quando os pacotes de informações

são recebidos numa determinada porta, o computador sabe qual aplicação

receberá o pacote. Por exemplo, a porta 80 é a porta para os servidores web

(que hospedam os sites que explora com o seu navegador), e a porta 25 é

usada para enviar e-mail. Os pacotes são endereçados para uma porta específica

num endereço de IP específico.

Firewalls

Um firewall separa uma

porção de uma rede de

outra e permite a

passagem apenas de

tráfego autorizado. Na

rede de uma pequena

empresa, um firewall

geralmente separa a rede

privada local da Internet.

Alguns firewalls examinam

os pacotes que fluem

para dentro e muitas

vezes também para fora

da rede para checarem

sua legitimidade;

Figura 1. Um firewall permite que o tráfego de rede de usuários válidos (linha verde)

Figura 1. Um firewall permite que o tráfego de rede de usuários válidos (linha verde) passe através da sua rede, mas bloqueia o tráfego de intrusos (linha vermelha).

Os firewalls também podem filtrar pacotes suspeitos. Eles escondem as

identidades dos computadores dentro da rede privada para dificultar a

descoberta de computadores individuais por hackers criminais. (Figura 1)

Servidores

Um servidor nada mais é do que outro computador ligado à rede, e

projetado para desempenhar algumas funções especiais, como o

compartilhamento de impressoras e armazenamento de arquivos. Lembre-se

que se o seu laptop ou desktop estiver conectado à Internet, ele também é

um tipo de servidor, e sem um firewall, é capaz de receber trafego

indesejado da Internet.

Ameaças Comuns Contra a Segurança das Redes

Os agressores têm motivações diferentes – lucro, molecagem, glória – mas todos

agem de maneira similar. Existem diversas ameaças básicas, todas capazes de

variações infinitas.

Voce sabia?

Todos os dias, a Microsoft filtra mais de 3 bilhões de mensagens spam e protege as caixas de entrada de mais de 200 milhões de usuários no mundo todo.

Spam. Spam, ou mensagens de

e-mail não solicitadas, gastam

tempo e largura de banda. O

volume total do spam pode ser

imenso, e ele pode ser também

um veículo para vírus.

A maioria das mensagens

traz conteúdo pornográfico, em alguns casos podem criar um ambiente de trabalho desconfortável e até mesmo

de responsabilidade legal se

as empresas não tentar

bloqueá-lo.

Spoofing. Existem dois tipos de

spoofing. IP spoofing significa a criação de pacotes que parecem ter vindo de um endereço de IP diferente. Esta técnica é usada principalmente em ataques num só sentido (como a negação de um serviço, ou ataques DoS). Se os pacotes parecem vir de um computador da rede local, eles podem passar pela segurança do firewall (projetada para proteção contra ameaças externas). Os ataques do IP spoofing são difíceis de serem detectados e exigem a habilidade e os meios para monitorar e analisar pacotes de dados. E-mail spoofing significa a falsificação de uma mensagem de e-mail para que

o endereço do remetente não

indique o endereço verdadeiro de quem está enviando. Por exemplo, e-mails de trote circularam na Internet no final de 2003 e pareciam trazer um aviso sobre atualizações oficiais da Microsoft, pois usavam um endereço de e-mail falsificado da Microsoft. Dezenas de

fabricantes, incluindo a Microsoft, desenvolveram em parceria uma tecnologia chamada Sender ID Framework (SIDF) que ajuda a conter e-mail spoofing e phishing ao validar a origem real da mensagem.

Phishing. Phishing está cada vez

mais se tornando a tática

favorita dos hackers e do crime

organizado. Em geral, um

criminoso envia uma mensagem de e-

mail que se parece muito com a da

fonte original ( como eBay ou

Microsoft). Links na mensagem

levam você a um site que

também se parece muito como

original. No entanto, o site é

apenas uma fachada, e o

objetivo do golpe é fazer com

que você forneça dados

pessoais, às vezes para listas de

spam, e às vezes para que os

criminosos possam roubar

informações sobre sua conta e

mesmo sua identidade.

Voce sabia?

Em junho de 2004, o Grupo Gartner relatou que as contas do banco online haviam sido roubadas em $2.4 bilhões em um período de apenas 12 meses. Estima- se que 1.98 milhões de adultos tenham sofrido perdas. Muitos dos problemas foram causados por programas maléficos que coletavam senhas e dados confidenciais clandestinamente. Esquemas de “Phishing” também eram usados.

As vitimas destes golpes não são apenas usuários que talvez divulguem informações pessoais e confidenciais, mas também a reputação e marca da empresa enganada.

Vírus. Vírus são programas criados para se replicarem e causar danos. Eles

geralmente estão escondidos em programas inócuos. O vírus em e-mails

muitas vezes está mascarado como um jogo ou imagem e usa assuntos

atraentes (como “Minha namorada nua”) para fazer com que usuários o abram

e o executem. O vírus se replica ao infeccionar outros programas em seu

computador.

Worms. Worms são como o Vírus, pois também tentam se replicar, mas

muitas vezes são capazes de fazê-lo ao enviarem mensagens de e-mail ao

invés de simplesmente infectar os programas de um único computador.

Cavalos de Tróia. Estes programas maléficos fingem ser aplicações benignas. Eles não se replicam como o Vírus ou worms, mas mesmo assim podem causar dano considerável. Muitas vezes, vírus ou worms são transportados dentro de um Cavalo de Tróia.

Você sabia?

De acordo com a National Cyber SecurityAlliance, 62 % dos usuários de computador não atualizaram seu software antivírus, e 91% dos entrevistados possuem spyware em seus computadores que possam causar desempenho lento, excesso de pop- ups, ou seqüestro de homepages.

Spyware. Spyware se refere a

pequenos programas escondidos

que são executados em seu

computador e são usados para

rastrear suas atividades online para

permitir que invasores monitorem e

tenham acesso ao seu computador.

Você pode ser o alvo de spyware ou

de outro software indesejado se

fizer download de músicas de

programas de arquivos

compartilhados, de jogos

gratuitos de sites não confiáveis, ou de outros softwares de origem

desconhecida.

Tampering. Tampering consiste na alteração do conteúdo dos pacotes que viajam

pela Internet ou na alteração de dados nos discos do computador após uma rede

ter sido invadida. Por exemplo, um invasor pode colocar uma escuta numa linha da

rede para interceptar pacotes conforme eles deixam seu estabelecimento. O invasor

pode espionar ou alterar as informações, conforme elas deixam sua rede.

Repudio. Repudio refere-se à capacidade de um usuário de negar falsamente ter

desempenhado uma ação que os demais não podem refutar. Ou seja, um usuário pode

excluir um arquivo e negar ter feito isso se não houver mecanismo (como registros de

auditoria) que prove o contrário.

Revelação de informações. Consiste na exposição de informações para indivíduos

que normalmente não teriam acesso a elas. Por exemplo, um usuário pode tornar

certos arquivos que não deveriam ser compartilhados acessíveis através da rede.

Funcionários costumam compartilhar muitas informações importantes, como

senhas, com pessoas que não deveriam.

Negação de Serviço. Os ataques DoS são assaltos computadorizados lançados por

um criminoso na tentativa de sobrecarregar ou paralisar um serviço da rede, como

um servidor web ou arquivo. Por exemplo, um ataque pode fazer com que um

servidor fique tão atarefado tentando respondê-lo que irá ignorar as solicitações

legítimas para conexões.

Elevação de privilégio. Trata-se de um processo no qual um usuário engana

um sistema fazendo com que ele conceda direitos não autorizados,

geralmente com o propósito de comprometê-lo ou destruí-lo. Por exemplo,

um agressor pode registrar-se numa rede usando uma conta de visitante, e

então explorar uma fraqueza no software que permite ao agressor mudar os

privilégios de visitante para privilégios administrativos.

Software Pirata. O uso de software falsificado está disseminado. Em algumas

partes da Ásia e na antiga União Soviética, pelo menos 90% do software

usado é falsificado. Mesmo nos Estados Unidos, estima-se que 25% seja

falsificado. Apesar de o preço baixo ser um atrativo, este tipo de software vem

com um preço potencialmente mais alto: pode conter bugs e vírus, além de

ser ilegal.

O software genuíno da Microsoft

software fornece proteção atualizada

contra hackers e vírus de e-mails, além

de ferramentas aperfeiçoadas para

recuperação do sistema.

Voce sabia?

O Earthlink, Provedor de Internet de Atlanta, disse em Abril de 2004 que havia encontrado 370000 Cavalos de Tróia e monitores de sistema em 1 .6 milhões de computadores pesquisados. Se os números da Earthlink forem os mesmos para todos os computadores, 35% estão comprometidos.

Saiba mais acessando o site

www.microsoft.com/genuine/small_business.mspx?displaylang=pt-br.

A maioria dos agressores usa o poder de processamento dos computadores

como uma arma. Eles podem usar um vírus para espalhar um programa DoS

para milhares de computadores. Podem ainda utilizar um programa para

adivinhar senhas para tentar todas as palavras do dicionário. É claro que as

primeiras tentativas são sempre as mais óbvias, como “senha” e “abretesesamo”

e o próprio nome do usuário. Os invasores têm programas que experimentam

ao acaso todos os endereços de IP na Internet procurando por sistemas

desprotegidos e quando encontram um, possuem rastreadores para verificar

se existem portas abertas para o ataque. Se encontrarem uma porta aberta,

eles conhecem centenas de vulnerabilidades que podem ser usadas para

tentar ganhar acesso. Para ataques mais deliberados, como espionagem

industrial, uma combinação de tecnologia e engenharia industrial é mais

eficiente.

Por exemplo, induzir membros de sua equipe a revelarem informações

confidenciais, esvaziar o lixo em busca de alguma informação reveladora, ou

simplesmente procurar senhas escritas em bilhetes ao lado do monitor.

Porque Softwares são Vulneráveis

Os desenvolvedores de software não têm a intenção de criarem programas

inseguros. Por exemplo, um sistema operacional típico é o produto de dezenas

de milhares de horas de trabalho e consiste em milhões de linhas de códigos.

Um simples bug ou descuido pode gerar uma porta inesperadamente aberta

para um sistema até então seguro. É impossível criar softwares sem qualquer

possibilidade de bug. É claro que isso não significa que os desenvolvedores não

irão tentar.

Então temos os bandidos. O ladrão de bancos Willie Sutton disse certa vez:

“Eu roubo bancos porque é lá que o dinheiro está”. O mesmo acontece

com softwares. Quanto mais sucesso e utilização tiverem um software,

maior será o risco de que vire alvo de criminosos. Existe uma batalha

contínua entre os criminosos que exploram as fraquezas e os

desenvolvedores que tentam eliminá-las. É o mesmo caso dos chaveiros e

arrombadores, dos fabricantes de alarmes e ladrões de carros. É por isso

que os desenvolvedores de software lançam atualizações que corrigem

vulnerabilidades, e é por isso que elas devem ser instaladas. (Para mais

informações sobre proteção de computadores, veja a seção, “Microsoft

Windows XP Service Pack 2.”)

A importância das Atualizações de Softwares De acordo com o Relatório da Symantec sobre Ameaças
A importância das Atualizações de Softwares
De acordo com o Relatório da Symantec sobre Ameaças de Segurança na Internet publicado
em Setembro de 2004, demora em média 5,8 dias após um fabricante de softwares ter
anunciado uma vulnerabilidade para que hackers tirem vantagem da descoberta. As
atualizações de softwares devem ser feitas o mais rápido possível. É recomendado o uso do
recurso Automatic Updates no Microsoft Windows XP para fazer o download e a instalação
automática das atualizações e para certificar-se de que seu software antivírus seja atualizado
regularmente. Considere a possibilidade de assinar os boletins da Microsoft Security Update,
um serviço gratuito via e-mail. Para mais informações, veja a página
http://www.microsoft.com/brasil/security/alertas.mspx.

Encontrando o Consultor Certo

A maioria das pequenas empresas não possui uma equipe dedicada à

tecnologia. A contratação de um consultor pode ajudá-lo a determinar a solução para segurança adequada para sua empresa. Encontrar o consultor certo pode ser cansativo, mas um bom suporte facilita o gerenciamento da tecnologia e garante que você terá as melhores orientações e a melhor implementação.

Onde Começar?

Pergunte a colegas e

fornecedores quem eles estão

contratando.

O que Voce Está Procurando?

Se você ainda não estiver trabalhando em parceria com alguém, procure um

profissional que possa ajudá-

lo hoje e no futuro. Tente

buscar evidências da habilidade de crescimento e desenvolvimento como empresa e possibilidade de suporte para empresas maiores que a sua. Os checklists abaixo podem ajudá-lo a selecionar a empresa certa.

suporte para empresas maiores que a sua. Os checklists abaixo podem ajudá-lo a selecionar a empresa

Experiência

Profissional em Segurança de Sistemas de Informação (CISSP)? Se a

equipe tiver um CISSP, você pode ficar tranqüilo quanto ao nível de

especialização em segurança do consultor.

A equipe de consultoria possui um engenheiro com Certificado

O CompTIA Security+ mede o conhecimento padrão na indústria e as

competências para o gerenciamento de segurança de informação.

Eles possuem um Certificado CompTIA Security+?

Certificado pela Microsoft (MCSE) ou um Administrador de Sistemas

Certificado pela Microsoft (MCSA)? Os MCSEs são especializados em

compreender como se projeta, implementa e administra a segurança de

uma rede baseada no Microsoft Windows Server 2003. Os MCSAs são

especialistas na administração de ambientes de rede.

A equipe de consultoria possui um Engenheiro de Sistemas

possuem? Eles estão dispostos a fornecer uma lista de clientes com os quais

você pode conversar a respeito do serviço prestado?

A quanto o grupo de consultoria está no mercado e quantos clientes

Serviços

Quais dos seguintes serviços de segurança o grupo de

consultoria pode oferecer?

a) Instalação e suporte antivirus

b) Fortalecimento de servidores (garantem que todas as configurações do sistema

estão no nível adequado de segurança)

c) Fortalecimento de desktops

d) Instalação, configuração e suporte de firewall e detecção

de invasores

• Eles oferecem auditorias de segurança? Em quais sistemas

operacionais?

• Eles oferecem suporte de segurança remoto ou on-site 24×7?

• Quais níveis de suporte são oferecidos? Procure um contrato de serviço que

estabeleça em quanto tempo os problemas serão solucionados e o nível

de suporte oferecido na pós-venda.

• Eles podem oferecer ou recomendar profissionais para dar treinamentos?

• Eles serão capazes de acompanhar o crescimento de sua empresa no futuro?

Abordagem

O consultor utiliza padrões e práticas consistentes em suas operações?

Peça para ver uma descrição do processo.

• Eles podem se comprometer com uma programação ou orçamento

específico para um determinado projeto?

• Eles serão capazes de trabalhar com sua própria equipe, ou terão que

fazer contratações temporárias?

• Qual é a estrutura de preços? Dependendo do projeto, é possível fechar um

preço único, uma taxa diária ou por hora, ou por prestação de serviços

contínuos. Eles podem desmontar sua estrutura de custo e determinar os

custos para as diferentes atividades ou etapas? Você quer informações

exatas e precisas antes que qualquer trabalho seja delegado.

• Como eles abordam a documentação? Eles devem oferecer a você uma proposta de trabalho, incluindo um orçamento, uma programação, e as especificações cabíveis. A proposta deve estar em linguagem clara.

• Se a proposta for satisfatória, você deve escrever um contrato especificando o

que será feito e por quem. Certifique-se de incluir datas, prazos, equipamentos

e custos. Mesmo que você não tenha um contrato formal feito por

advogados, certifique-se de que os detalhes do trabalho estão escritos e são

claros.

O que Fazer a Seguir

Para encontrar um parceiro Mic ros o f t para pequenas empresas , siga estas instruç ões :

.

1. Visite o site de Busca do Microsoft Small Business Partner:

http://www.microsoft.com/brasil/comprar/default.aspx

2. Clique em Software ou Hardware Microsoft.

3. Selecione o estado, a cidade e clique em

10 Perguntas para Ajudar a Proteger sua Empresa

Faça nosso questionário de segurança e veja o quanto você sabe – ou não –

sobre questões importantes que podem causar impacto em sua empresa.

1. Qual das seguintes ações não ajudará a proteger seus computadores

desktop?

a. Acionar o Automatic Updates

b. Acionar o Windows Fi rewall

c. Instalar software antivirus

d. Abrir anexo de e-mail de remetente desconhecido

2. Qual destes é um exemplo de senha segura?

a. Senha

b. J*p2le04>F

c. Meu cachorro tem pulgas!

d. Seunome verdadeiro, nome de usuário ou da empresa

3. Se você tiver um firewall de perímetro em sua rede, você não precisa

acionar o Windows Firewall.

a. Verdadeiro

b. Falso

4. Como evitar que invasores acessem sua rede sem fio?

a. Encriptando o tráfego de rede com Wi-Fi Protected Access

(WPA) ou Wired Equivalent Privacy (WEP)

b. Restringindo o acesso aos endereços confiáveis do Media Access Control (MAC)

c. Ambos

5. Se você programar o software antivírus para auto-atualização, você não precisa habilitar

o Windows Automatic Updates.

a. Verdadeiro

b. Falso

6. Pequenas empresas não são alvos de hackers

a. Verdadeiro

b. Falso

7. O que é phishing?

a. Mensagens de e-mail de “trote” e sites que enganam quem as recebe para que divulgue informações pessoais.

b. Um tipo de vírus de computador

c. Um exemplo de senha forte

8. Que produto pode ser usado para atualizar todos os computadores de sua rede?

a. Windows Update Services (WUS)

b. Microsoft Internet Information Services (IIS)

c. Bluetooth Networking

d. Microsoft Baseline SegurançaAnalyzer (MBSA)

9. Que método(s) pode ser usado para proteger dados importantes de predadores?

a. Senhas

b. Permissões de

arquivos

c. Encriptação

d. Todas as anteriores

10. Com que freqüência deve ser feito backup incremental?

a. Diariamente

b. A cada dois dias c.

Semanalmente

d. Mensalmente

deve ser feito backup incremental? a. Diariamente b. A cada dois dias c. Semanalmente d. Mensalmente

As respostas para o questionário de segurança estão abaixo. Se você não respondeu todas as perguntas corretamente, veja a seção “Sete Passos para Maior Segurança” para saber mais sobre questões relacionadas à segurança das pequenas empresas.

1. d. Você deve us ar o Au tomatic Upda tes, o software antivírus , e o

Windows Firewall. Você não deve jamais abrir um anexo de e-mail de um remetente desconhecido.

2. b e c. Uma senha forte é uma mistura de diferentes tipos de caracteres.

Frases também são senhas seguras.

3. b. Falso. Vocêdeve usar um firewall de perímetro e um firewall loca,

como o Windows Firewall.

4. c. Ambos. Você deve encriptar sua rede e limitar o acesso.

5. b. Falso. A atualização automática do seu antivírus não atualiza automaticamente o sistema operacional do Windows também. É preciso habilitar também o Windows Automatic Updates.

6. b. Falso. Pequenas empresas são alvos freqüentes de ataques e também

podem ser afetadas pelos ataques nas grandes.

7. a. Mensagens de e-mail “trote” e sites fraudulentos são criados para

enganar os destinatários para que divulguem dados financeiros pessoais, como números de cartão de crédito, e nomes de usuário de contas e senhas.

8. a. WUS. O WUS oferece uma solução para o problema de

gerenciamento e distribuição de atualizações importantes do Windows que solucionam vulnerabilidades de segurança e outras questões de estabilidade em seus sistemas operacionais.

9. d. Todas as anteriores. Você pode proteger dados confidenciais usando

senhas fortes, designando permissões de arquivos e habilitando a encriptação.

10. a. Diariamente. Um backup incremental inclui todos os dados que foram alterados desde o último backup. O backup inc remental deve ser diário se você estiver usando este método como parte de sua solução de backup.

Microsoft Windows XP Service Pack 2

O Microsoft Windows XP Service Pack 2 (SP2) é uma atualização gratuita para computadores executando o Windows XP que inclui todas as atualizações de segurança lançadas pela Microsoft para este sistema operacional e traz várias melhorias significativas na segurança.

Como parte de um grande esforço para aumentar a segurança dos computadores desktop, a Microsoft lançou uma atualização para o Windows XP chamada Windows XP SP2. Como em todos os service packs, o SP2 inclui as principais atualizações feitas para o Windows XP até hoje. O SP2 também inclui um grande número de novas melhorias para

Pequena Empresa em destaque: W&E Baum:

“A instalação do Windows XP Service Pack 2 (SP2) foi rápida e fácil. Quando fizemos o rollout do Windows XP SP 1, levamos cerca de 30 minutos, ou $75 por computador. O rollout do SP2 levou apenas 5 minutos por computador, reduzindo nossos custos de implementação em cerca de 95 %.” · O Windows XP—cujo intuito é aumentar o nível de segurança padrão para o seu sistema operacional.

Automatic Updates

Para que o Windows XP fique protegido é importante mantê-lo atualizado com as ultimas atualizações do software lançadas pela Microsoft. O Automatic Updates pode localizar, fazer o download e instalar automaticamente atualizações críticas e de segurança. O SP2 traz diversas melhorias para o recurso Automatic Updates no Windows XP, incluindo habilidade para fazer o download de mais categorias de atualizações, melhor gerenciamento da largura de banda, e consolidação das atualizações para facilitar a vida do usuário.

Windows Firewall

No lançamento original do Windows XP, o firewall baseado no software incluído no sistema operacional chamava-se Internet Connection Firewall. Com o lançamento do SP2, este firewall foi rebatizado de Windows Firewall e foram acrescentados diversos recursos novos.

As atualizações incluem a habilitação do Windows Firewall por padrão em todas as conexões da rede, interface do usuário aperfeiçoada, melhor compatibilidade para aplicações quando o Windows Firewall está acionado, e a possibilidade de alterar as configurações globais para todas as conexões.

Internet Explorer

As melhorias em segurança do Microsoft Internet Explorer oferecem maior proteção contra conteúdos mal-intencionados na Web bem como uma interface aperfeiçoada que facilita a configuração da segurança. Uma nova Barra de Informações consolida muitas das caixas de diálogo que o Internet Explorer utiliza para fornecer informações aos usuários. O Internet Explorer agora inclui um bloqueador de janelas pop-up bem como um recurso chamado Manage Add-ons que permite a você inabilitar as capacidades de encriptação que possibilitam aos sites inescrupulosos seqüestrarem o Internet Explorer e forçá-lo a ir até eles.

Outlook Express

O SP2 também fornece melhorias na segurança para os usuários do programa

de e - mail Mic ros oft Outlook® Exp ress. Você pode evitar que

“baixados” e exibidos em mensagens com formato HTML e mesmo configurar o Outlook Express para exiba mensagens apenas no formato de texto simples. Também é possível bloquear anexos potencialmente perigosos que são enviados através de mensagens de e-mail, e mensagens instantâneas são isoladas para que não possam afetar outras partes do sistema.

conteúdos externos sejam

Suporte Sem Fio

Uma nova interface no SP2 facilita a localização de uma rede sem fio ao informá-lo quais redes estão disponíveis, sua força e seu tipo de segurança. Você pode facilmente mover entre as redes, se necessário. O Assistente de Instalação da Rede Sem Fio facilita esta tarefa. Além disso, novos assistentes o guiam na configuração dos recursos de segurança para usa rede sem fio, independente do tipo de rede sem fio: a antiga WEP, ou a nova e muito mais potente, WPA.

Security Center

O

Security Center é um novo recurso que oferece uma interface central exibindo

o

status das configurações de segurança em um computador, incluindo

configurações para Automatic Updates, Windows Firewall, e alguns softwares antivírus não pertencentes a Microsoft. O Security Center também é executado como serviço de bastidores e fornece alertas em tempo real quanto certas condições de segurança são detectadas. Equipado com tecnologias de

segurança aperfeiçoadas o oferecidas pelo SP2, você vivenciará um ambiente de desktop muito mais seguro. Para mais informações e para descobrir como obter

o Windows XP SP2 gratuitamente, visite a página

http://www.microsoft.com/brasil/windowsxp/sp2/default.mspx

o Windows XP SP2 gratuitamente, visite a página http://www.microsoft.com/brasil/windowsxp/sp2/default.mspx Página 26

Página 26

Sete Passos para Maior Segurança

Esta seção descreve medidas básicas de segurança que toda empresa deveria tomar para se proteger. Veja a seção “O que Você Precisa Saber Sobre Segurança” para se informar sobre qualquer item que parece técnico demais, ou conversar com um consultor de segurança ou de tecnologia da informação (TI). Os passos presumem que você já tenha criado uma política e um plano de segurança. Para um exemplo de plano e política de segurança, veja a seção “Exemplo de Plano de Segurança : Adventure Works.”

Passo 1

Proteja Seus Desktops e Laptops

Se você tomar apenas três precauções para proteger os computadores usados em sua empresa, que sejam elas:

• Atualize seu software.

• Ajude a proteger contra Vírus.

• Instale firewalls.

Atomada destas medidas não o protegerá completamente das ameaças de segurança e da perda de produtividade, mas juntas darão a você uma linha de defesa poderosa.

Atualize Seu Software

Hackers criminosos gostam de encontrar e explorar bugs e falhas em softwares populares. Alguns fazem isso por dinheiro, outros para provar algo, e alguns simplesmente para causar problemas. Muitos problemas: divulgação de números de cartões de crédito de clientes e roubo de senhas de um computador. O impacto em sua empresa pode ser fatal.

Passos básicos a serem dados

Quando a Microsoft ou qualquer outro fabricante de software encontra uma vulnerabilidade em seus produtos, ela geralmente lança uma atualização que pode ser obtida através download gratuito na Internet. A atualização “conserta” a falha ou bug para evitar que os hackers causem problemas. Com o passar do tempo, no entanto, os softwares têm se tornado mais seguros.

Por exemplo, o Microsoft Windows XP Professional é inerentemente mais seguro

do que o Microsoft Windows 95. O Windows XP Professional com SP2 oferece

configurações de segurança ainda mais fortes para ajudar a evitar vírus, hackers, e

worms. Mas isto não diminui a importância do download e da instalação de

atualizações apropriadas assim que são lançadas.

Instalação manual de atualizações para o Windows

Windows XP Professional:

Vá até o site Windows Update (http:// windowsupdate.microsoft. com), e

clique em Verificar por Atualizações.

O website automaticamente analisa

seu computador, determina quais atualizações são necessárias e as disponibiliza para download. Para facilitar o processo, habilite o Automatic Updates. Com este recurso, o Windows XP Professional pode monitorar o download, e instalar atualizações automaticamente (dependendo das configurações que você selecionar).

Windows 2000:

Qual Versão do Windows eu Possuo?

Se não tiver certeza sobre qual versão do Windows está executando, é fácil descobrir. A Microsoft fornece uma

ferramenta online que pode determinar sua versão do Windows (incluindo qualquer Service Packs instalado). Siga estes passos:

1. Vá até www.microsoft.com/brasil/proteja

2. Clique no link “Descubra qual versão do Windows seu computador está usando.” na parte de baixo de página.

Você também pode determinar sua versão do Windows manualmente (e offline) seguindo estes passos:

1. Clique em Iniciar, e então clique em

Executar.

2. Na caixa de diálogo Executar digite winver, e clique em OK.

3. Na caixa de diálogo Sobre o Windows que surgir, procure a versão instalada do Windows de qualquer Service Packs que estiverem instalados.

Se você estiver executando o

Microsoft Windows 2000 como parte de um domínio ou como um computador autônomo, visite o site do Windows Update (http://windowsupdate.microsoft.com), onde você encontrará os últimos service packs, drivers de dispositivos, informações sobre compatibilidade de aplicações, e atualizações de segurança do sistema. Em um ambiente do domínio, os computadores do servidor executando o Microsoft Windows 2000 Server ou Windows Server 2003 gerenciam a segurança de todos os recursos da rede.

O Windows Me, Windows 98, Windows NT®, e Windows 95: Versões

anteriores do Windows, como o Microsoft Windows Me ou Windows 98, são

muito menos seguras do que as novas versões. A Microsoft aconselha a

atualização para as novas versões do Windows para garantir o alto nível de

segurança.

Faça o download automático e a instalação de atualizações em um

computador executando o Windows XP Professional

1. Clique em Iniciar, and then clique em Painel de Controle.

2. No Painel de Controle, clique duas vezes em Sistema.

3. Na caixa de diálogo de propriedades do sistema, clique na guia Atualizações

Automáticas (Figura 2).

4. Selecione a opção Automática (recomendado).

5. Na caixa de seleção, selecione o dia e hora para fazer o download e a

instalação das atualizações.

6. Clique em Aplicar, e então clique em OK.

6. Clique em Aplicar , e então clique em OK . Você também pode ficar em

Você também pode ficar em dia

com as atualizações de

segurança para o Microsoft

Office. Estas atualizações e

outros suplementos obtidos

através de download estão

disponíveis no site Office

Update

(http://office.microsoft. com) e

clicando em Verificar por

Atualizações.

Procure se Proteger Contra Vírus

Figura 2. Prepare seu computador para o download e a instalação automática de atualizações.

Os vírus, bem como os worms e os cavalos de Tróia, são programas maliciosos

executados em seu computador. Alguns Vírus deletam ou alteram arquivos.

Outros consomem recursos do computador. Alguns permitem que intrusos

acessem seus arquivos. Os Vírus podem se replicar, ou copiar a si mesmos, e

até enviar mensagens de e-mail para os contatos de sua lista. Os

computadores infectados por vírus podem espalhá-los através de sua

empresa e causar sérios danos à produtividade e a perda de dados. Você

também corre o risco de infectar os computadores de seus clientes ao se

comunicar com eles via e-mail.

Passos básicos a serem dados

Você deve ter uma proteção antivírus

em

todos os seus computadores.

O

software antivírus funciona

rastreando o conteúdo das

mensagens de e-mail (e arquivos

já presentes em seu

computador) para detectar

assinaturas de vírus. Se o

software encontrar um vírus, ele

o deleta ou isola.

Instale um software antivirus

Voce Sabia?

Uma pesquisa conduzida pela America Online revelou que 20% dos computadores domésticos estavam infectados com um vírus ou worm e que várias formas de programas de invasão estão em 80% dos computadores. Apesar disso, mais de 2/3 dos usuários acham que estão a salvo de ameaças online.

Centenas de Vírus são lançados a cada mês, e por isso um software antivírus

deve ser atualizado regularmente com as últimas definições de assinaturas

para que possa pegar os últimos vírus. Procure por um software que faça

downloads automáticos das últimas definições e programas diretamente da

Internet. (Se a sua empresa usa laptops, veja a seção “Tomando Cuidados

Especiais com Laptops” na página 26.) Aqui vão alguns links para programas

antivírus de alguns dos melhores fabricantes de software de segurança:

AVG Anti-Virus: www.grisoft.com/

Norton AntiVirus: www.symantec.com/smallbiz/nav/

McAfee VirusScan: www.mcafee.com/

• Panda Titanium Antivirus: www.pandasoftware.com/

BitDefender: www.bitdefender.com/

Microsoft Malicious Software Removal Tool:

Visite www.microsoft.com/downloads/ e digite “Malicious Software Removal Tool” na caixa de busca

Nunca abra arquivos suspeitos

Certifique-se de que todos em sua empresa saibam que devem deletar – sem

abrir – quaisquer anexos de e-mail de uma fonte desconhecida ou suspeita.

Ajude a Proteger sua Caixa de Entrada

A Microsoft desenvolveu tecnologias SmartScreen que são integradas com muitos

produtos da Microsoft, incluindo o MSN® Hotmail, o Microsoft Exchange Server, e o Microsoft Office Outlook® 2003. Estes produtos possuem configurações que ajudam a detectar e eliminar e-mails indesejados. Pesquise nestes programas se você já não os tiver usando.

Para configurar opções de junk e-mail no Office Outlook 2003, siga estes passos:

de junk e-mail no Office Outlook 2003, siga estes passos: 1. No Office Outlook 2003, clique

1. No Office Outlook

2003, clique no

menu Ações.

2. Selecione Lixo

Eletrônico, e então

clique em Opções de

Lixo Eletrônico.

3. Na caixa de

diálogo Opções de

Lixo Eletrônico,

selecione o nível

de proteção

contra e-mail que

você deseja

(Figura 3).

4. Clique em

Aplicar, e então

clique em OK.

Figura 3. Habilite o filtro de lixo eletrônico no Office Outlook 2003.

O Office Outlook 2003 disponibiliza (gratuitamente) atualizações mensais para o

seu filtro de junk e-mail. Os usuários são aconselhados a fazerem o download

destas atualizações regularmente para ajudar a conter novas táticas enganadoras de e-mails. Para saber mais sobre os recursos de segurança e de bloqueio de spam no Office Outlook 2003, visite a página:

www.microsoft.com/office/editions/prodinfo/junkmail.mspx (em inglês)

Para atualizações no filtro de lixo eletrônico, visite

http://office.microsoft.com/en-us/officeupdate/ e clique em

Downloads for Office 2003.

Para atualizar para o Outlook Express 6.0, faça o download e instale o

Internet Explorer 6.0 a partir da página de Downloads do Office 2003:

www.microsoft.com/windows/ie/enthusiast/videos/email.mspx

Para saber mais sobre vírus, leia o artigo “7 things to know about virus writers”

na página www.microsoft.com/smallbusiness/

issues/technology/security/7_things_to_know_about_virus_ writers.mspx (em

inglês)

Instale Firewalls

Se você possui uma conexão de banda larga, a rede de sua empresa tem

grandes chances de ser sondada ao acaso por hackers criminosos. Quando os

invasores dão de cara com um endereço de computador válido, eles tentam

explorar as vulnerabilidades do software para ganhar acesso a sua rede—e às

maquinas individuais também.

Passos básicos a serem dados

Como um fosso em volta de um castelo, um firewall pode evitar que invasores

acessem sua rede privada. Existem dois tipos básicos de firewalls:

Firewalls de Perímetro. Estes firewalls bloqueiam todo o tráfego entre a

Internet e sua rede que não sejam explicitamente permitidos. Por exemplo,

você pode quere configurar o firewall para aceitar certos tipos de e-mail e

de tráfego da Web, mas rejeitar os demais tipos de tráfego.

Os firewalls também podem esconder os endereços dos computadores atrás

de si, tornando computadores individuais invisíveis para o exterior. Um

firewall pode ser integrado a um roteador DSL / cable modem ou um

software como o Microsoft Internet Security e o Acceleration (ISA) Server.

• Firewalls locais. Devem ser instalados em cada computador. O Windows

Firewall no Windows XP SP2 é habilitado por padrão, o que significa que, por

padrão, todas as conexões – incluindo LAN (com ou sem fio), por discagem, e

Virtual Private Network (VPN)—estão protegidas.

Tomando Cuidados Especiais com Laptops Os laptops são alvos tentadores porque são fáceis de roubar
Tomando Cuidados Especiais com Laptops
Os laptops são alvos tentadores porque são fáceis de roubar e de vender. Pense
nele como uma pilha de dinheiro equivalente ao seu preço. Além da inconveniência
e do custo para substituí-lo, existe o risco de que um laptop roubado contenha
informações confidenciais ou difíceis de serem substituídas. Se você usa um laptop,
considere tomar as seguintes precauções:
• Use uma senha forte. Certifique-se de manter o laptop desligado quando
não estiver sendo usado.
• Mantenha o laptop a vista, principalmente em lugares públicos cheios como
aeroportos, mas também em conferências e reuniões.
• Mantenha seu laptop numa mala de mão, e não o deixe em depósitos de
bagagens de hotéis. Não carregue seu laptop em bolsas com estampas de
fabricantes ou que se pareçam muito com uma típica bolsa de laptop.
• Mantenha um registro do número de série de seu laptop e de todos os
acessórios que você utiliza.
• Faça um backup de todo o trabalho armazenado em seu laptop antes de viajar
e, se possível, continue fazendo backups do trabalho que faz longe da empresa.
Enviar por e-mail os novos documentos é uma alternativa.
• Use o Encrypting File System (EFS) para proteger arquivos confidenciais.
Para orientações sobre este processo, veja o artigo de suporte da
Microsoft 223316, “Best Practices for the Encrypting File System,” na
página: http://support.microsoft.com/default.aspx?scid=kb;EN-
US;223316 (em inglês)

Se os seus computadores não estiverem executando o Windows XP, você pode adquirir um firewall local comercial. Os seguintes fornecedores comercializam softwares de firewall:

• ZoneLabs (www.zonelabs.com)

• McAfee (www.mcafee.com)

• Symantec (www.symantec.com)

Leia Mais a Respeito

• Para artigos da Microsoft sobre segurança de desktops e laptops, visite o site de Segurança da Microsoft:

http://www.microsoft.com/brasil/security/smb.mspx

• Se você não estiver usando o Windows XP Professional com SP2, você pode obter informações sobre outros firewalls locais baseados em software nos sites www.mcafee.com, www.symantec.com, ou www.zonelabs.com

• Para informações sobre os diferentes tipos de firewalls disponíveis e para detalhes técnicos sobre como os firewalls funcionam, leia mais no site Microsoft TechNet www.microsoft.com/technet/security/topics/network/firewall.mspx • Para informações sobre spyware, visite

http://www.microsoft.com/brasil/athome/security/spyware/default.mspx

• Para uma excelente introdução no mundo dos hackers criminosos, incluindo entrevistas e leituras úteis, visite www.pbs.org/wgbh/pages/frontline/shows/ hackers/

Passo 2

Mantenha os Seus Dados

Implementar um procedimento de backup regular é uma maneira simples para

ajudar a proteger os dados mais importantes de sua empresa. As permissões de

configurações e o uso de encriptação também ajudam. Muito das experiências

ruins que as pequenas empresas vivenciam podem ser culpa de forças externas,

como economia ruim, desastre natural, a saída de funcionário importante. Não é

surpresa que aquelas

que conseguem sobreviver às épocas difíceis sejam justamente aquelas que minimizam seus riscos tomando precauções básicas. Uma delas é a proteção dos dados empresárias chaves.

Imagine chegar um dia no seu escritório e descobrir que todos os seus registros de venda, informações de clientes e histórico de pedidos desapareceram. Quanto tempo demoraria para se recuperar? Quantos estragos e atrasos isso não causaria? Quanto isso custaria?

A perda de dados pode acontecer e acontece. Ela é resultado de falhas de hardware, enchentes, incêndios, brechas na segurança, ou perda acidental de um arquivo importante. Seja qual for a causa, a tomada de precauções para reduzir o impacto é como uma apólice de seguro, permite a sua empresa reagir rapidamente.

Passos Básicos a Serem Dados

Existem diversas maneiras para ajudar a proteger os dados cruciais de sua empresa, mas estes três métodos são essências para quem está iniciando.

Implementar um procedimento para fazer o backup de dados cruciais

Fazer o backup de dados cruciais significa fazer uma cópia destes dados em outro meio. Por exemplo, você pode copiar todos os seus arquivos importantes em um CD-ROM, num segundo disco rígido, ou numa pasta compartilhada de sua rede. Existem dois tipos básicos de backup: backup total e backup incremental. Um backup total faz uma cópia completa dos dados selecionados em outro meio. Um backup incremental faz apenas o backup dos dados que foram adicionados ou alterados desde o último backup total. Você deve manter cópias dos backups em locais seguros fora do escritório.

Um backup total acrescido por um backup incremental é geralmente mais rápido e ocupa menos espaço. Você pode considerar uma política de execução de um backup total semanal seguido de backups incrementais diários. No entanto, quando quiser restaurar dados após um travamento, este método levará mais tempo porque você terá que restaurar o backup total primeiro,

e depois cada backup incremental. Se tal processo for um empecilho, uma outra opção é executar um backup total noturno. Basta programá-lo para ser executado fora do horário comercial.

(Figura 4).

Teste seus backups regularmente restaurando os dados em um local de teste. Desta forma, você pode:

• Garantir que o meio e os dados do backup estão em bom estado

• Identificar problemas no processo de restauração.

• Proporcionar um nível de confiança que será útil durante num momento de crise.

Estabeleça permissões

Tanto o sistema operacional de seu desktop quanto do seu servidor podem oferecer proteção contra perda de dados resultante de atividades de funcionários.

perda de dados resultante de atividades de funcionários. Figura 4. Faça o backup de dados cruciais

Figura 4. Faça o backup de dados cruciais e teste os backups restaurando-os.

Com o Windows XP e Windows 2000—bem como o Microsoft

Windows Small Business Server (SBS) 2003, o Windows Server 2003, e o

Windows 2000 Server—é possível designar diferentes níveis de permissão aos

usuários com base nas suas funções e responsabilidades dentro da organização.

Ao invés de fornecer a todos os usuários acesso de Administrador – o que

não é a melhor prática para a segurança do seu ambiente—institua uma

política de “privilégio mínimo” ao configurar seus servidores para dar aos

usuários individuais apenas acesso a programas específicos e privilégios de

usuário especificamente definidos.

Faça a encriptação de dados confidenciais

A encriptação de dados significa que você pode convertê-los para um formato

que os camufla. A encriptação de dados é usada para garantira a

confidencialidade e a integridade dos dados quando estes são armazenados

ou movidos através da rede. Apenas usuários autorizados que possuem as

ferramentas para decriptação podem acessar estes arquivos. A encriptação

complementa outros métodos de controle de acesso e oferece um nível

acentuado de proteção para dados em computadores vulneráveis a roubo,

como laptops, ou compartilhamento de arquivos numa rede. O Windows XP e

o Small Business Server 2003 suportam o Encrypting File System (EFS) para

encriptar arquivos e pastas. Juntas, estas três práticas devem proporcionar o nível

de proteção que a maioria das empresas requer para manter seus dados seguros.

Porque Você Deve Testar Seus Backups

Erik era o diretor de uma empresa de arquitetura em crescimento. Com 30 funcionários e diversos clientes multinacionais, a empresa dependia de seu sistema de e-mail para manter contato e acompanhar as solicitações de clientes. Então, numa tarde, o servidor de e-mail sofreu uma falha catastrófica, e os dados foram danificados.

“Sem problemas,” pensou Erik, “nosso responsável pelo suporte tem um backup, então, podemos restaurar os dados a partir dele.” De fato, a empresa havia elaborado uma biblioteca de fitas e mantinha as cópias dos backups cruciais em local separado. Foi somente após um dia de tentativas de restauração do sistema de e-mail com as fitas de backup que eles perceberam que o backup dos dados não havia sido feito adequadamente. Nunca haviam notado o problema e nunca haviam testado para verificar se os dados restaurados funcionavam devidamente. Não tinham nenhum tipo de plano B para a recuperação de desastres.

Leia Mais a Respeito

• Para artigos

Microsoft sobre

http://www.microsoft.com/brasil/security/smb.mspx

da

como

manter

dados

Para

mais

informações

sobre

como

usar

o

Microsoft

protegidos,

visite

Backup,

viste

www.microsoft.com/windowsxp/home/using/howto/

maintain/backup.asp

Passo 3

Use a Internet de Forma Segura

Sites inescrupulosos, bem como pop-ups e animações, podem ser perigosos. Estabeleça regras sobre o uso da Internet para proteger sua empresa – e seus funcionários.

Se a sua empresa ainda não possui uma política sobre o uso da Internet, prepare uma. Apesar de a Web ser uma ferramenta de trabalho incrivelmente útil, ela também pode causar estragos significativos no local de trabalho que podem resultar em perda de produtividade. O estabelecimento de regras protege sua empresa e seus funcionários.

Por que Sua Empresa Corre Riscos

As páginas da Web contêm programas que geralmente são inocentes e muitas vezes úteis – por exemplo, animações e menus pop-up. Mas existem sites duvidosos, até mesmo mal-intencionados, que possuem seus próprios interesses, e não é aconselhável navegá-los. Quando você estiver surfando na Web, os operadores de sites podem identificar seu computador na Internet, saber qual página você visitou, usar os cookies para traçar seu perfil, e instalar spyware em seu computador— tudo sem o seu conhecimento. Worms destrutivos também podem invadir seu sistema através do seu navegador da Web.

Além de atividades maléficas instigadas por pessoas de fora, funcionários podem deixar as empresas em situações vulneráveis quando participam de atividades ilícitas ou indesejadas na Web durante o expediente e usando os computadores de propriedade da empresa.

O que Sua Política de Internet Deve Incluir

Ao criar uma política da empresa para o uso da Internet, lembre–se de focar as seguintes questões:

• Se os funcionários têm permissão para navegação na Web para uso pessoal bem como para propósitos profissionais

• Quando os funcionários podem usar a Web para uso pessoal (por exemplo, horário

de almoço, após o expediente)

• Se e como a empresa monitora o uso da Web e qual nível de privacidade os

funcionários podem esperar

• A atividade na Web que não é permitida. Deixe claro que não é permitido. Esclareça detalhadamente o que é inaceitável. Em muitas empresas este comportamento inclui atividades como:

- Download de conteúdo ofensivo ou violento

- Comportamento violento ou ameaçador

- Solicitações comerciais (não relacionadas a trabalho)

- Outras atividades ilegais

Forneça duas cópias da política para seus funcionários — uma delas deverá ser assinada e devolvida para você. (Para mais informações, veja a seção “Criando uma Política de Segurança,” ainda neste guia.)

Dicas para uma Navegação Segura

Além da criação de uma política, as seguintes recomendações também podem ajudá-lo a promover uma navegação segura na Web:

• Visite apenas sites confiáveis.

• Não use o computador de trabalho para navegação fútil.

• Nunca navegue em sites a partir de um servidor. Sempre use um computador desktop ou laptop.

• Não permita que sites instalem programas a não ser que você confie no site e tenha certeza sobre o que o programa faz.

• Use um firewall ou um roteador. Isto permite a você filtrar endereços da Web e bloquear o tráfego de sites perigosos na Internet nos dois sentidos.

• Considere um software de filtragem da web. Empresas como Websense e Secu

re

Computing oferecem produtos que filtram o uso da Internet com base numa variedade de critérios.

Leia Mais a Respeito

• Para artigos da Microsoft sobre o uso seguro da Internet, visite

http://www.microsoft.com/brasil/security/smb.mspx

• Para software de filtragem da web, visite www.microsoft.com/spam,

www.microsoft.com/brasil/windowsserver2003/sbs/default.mspx,

www.securecomputing.com e www.websense.com

• Para pesquisar possíveis fraudes, visite

www.symantec.com/avcenter/hoax.html

• Para mais informações sobre o combate de spyware, visite

www.microsoft.com/spyware/

• Para implementar o Sender ID Framework para proteger o nome seu domínio contra falsificações de e-mail, viste www.microsoft.com/senderid/

Passo 4

Proteja Sua Rede

O acesso remoto a sua rede pode ser uma necessidade empresarial, mas é

também um risco de segurança quer precisa ser monitorado atentamente. Use

senhas fortes e seja especialmente cuidadoso em relação às redes sem fio.

Ninguém gosta de pensar no pior – que em cada esquina existe alguém de

olho nos seus negócios. Mas se a sua empresa opera uma rede com ou sem

fio e possui informações de caráter confidencial, um pouco de paranóia não

fará mal.

Passos Básicos a Serem Dados

Temos aqui quatro medidas básicas que podem ajudar a reduzir sua

apreensão em relação à segurança da rede.

Instale firewalls

Um firewall controla o acesso para dentro e fora da sua rede ou computador, impedindo que invasores tenham acesso à sua rede

privada e controlando o que os seus funcionários podem acessar fora da rede.

Firewalls de perímetro protegem todos os computadores na sua rede. Eles

também oferecem uma camada de defesa adicional assim podem tornar

todos os computadores de sua rede “invisíveis” para o mundo exterior.

Use senhas fortes

A maioria das pequenas empresas usa senhas para autenticar identidade, seja

em computadores, caixa registradoras, ou sistemas de alarme. Apesar de

existirem sistemas de autenticação mais sofisticados, como smart cards e scan

de digitais ou íris, as senhas são mais comuns porque são fáceis de serem usadas.

Infelizmente, elas são muitas vezes usadas inadequadamente. Os hackers possuem

ferramentas que os ajudam a descobrir senhas simples em minutos. Criminosos

também utilizam fraude para fazer com funcionários divulguem suas senhas.

Com freqüência , as senhas não sã o

eficazes porque:

• Documentos confidenciais não

foram protegidos com senhas, permitindo que qualquer pessoa acesse um computador desprotegido e efetue login.

• As senhas são fracas ou nunca são mudadas.

Voce sabia?

De acordo com estudos da

Michigan State University, até 70 % dos roubos de identidade são feitos por pessoas internas ou por pessoas se passando por tal. Senhas fortes ajudam a se proteger contra

esse tipo de ameaça.

• As senhas são anotadas a vista de todos.

Informar sua equipe sobre a importância das senhas é o primeiro passo para

torná-las uma ferramenta de segurança de rede valiosa.

Os funcionários devem encarar suas senhas da mesma maneira que a chave do escritório. Em outras palavras, não devem deixá-la em qualquer lugar nem compartilhá-la com ninguém. Os funcionários também devem evitar senhas fáceis de serem adivinhadas que incluem:

• O nome real, o nome de usuário, ou o nome da empresa

• Uma palavra comum que os tornem vulneráveis a “ataques de

dicionário,” nos quais um programa tenta usar as palavras

encontradas num dicionário parta tentar entrar no sistema

• Senhas comuns, como “senha,” ou “1234”

• Substituições de letras bastante conhecidas, como trocar o “i”

por “!” ou “s” por “$”

• Uma senha que mais alguém conheça

• Não usar senha alguma, o que facilita ainda mais o uso do sistema por

outros funcionários

• Qualquer senha anotada num papel

O que é uma senha forte? Ela deve possuir as seguintes características:

• Ter pelo menos 8 caracteres (quanto maior, melhor)

• Ter uma combinação de letras maiúsculas e minúsculas, números e

símbolos

• Ser alterada a cada 90 dias, e quando modificada, deve ser bastante

diferente da senha anterior

É claro que uma senha que você não consegue memorizar não serve para

nada. Existem alguns truques que podem ajudá-lo a criar senhas mais fortes

que possam ser memorizadas:

No Windows 2000 e Windows XP, é possível usar uma frase como comi 5 coxinhas no almoço.”

• Você também pode escolher uma frase, e usar apenas a primeira letra de cada palavra, como Mft5anos! (Meu filho tem 5 anos!).

“Eu

• Outro truque é usar palavras curtas e simples e juntá-las com números e

símbolos (por exemplo, Tree+34+Pond).

Use recursos de segurança sem fio

Redes sem fio usam conexões de rádio ao invés de cabos para conectar

computadores. Como resultado, qualquer um dentro do alcance da transmissão

pode teoricamente escutar ou transmitir dados através da rede. Ferramentas

disponíveis gratuitamente permitem aos invasores “rastrearem” redes inseguras.

Enquanto aumenta a vulnerabilidade numa rede sem fio, criminosos com

conhecimento de informática possuem ferramentas para invadir qualquer tipo de

sistema computacional.

Recursos de segurança são embutidos em produtos Wi-Fi, mas os fabricantes

freqüentemente deixam os recursos desligados por padrão para facilitar a

instalação da rede. Se você usa redes sem fio, certifique-se de que os recursos de

segurança estejam acionados e use o acesso de segurança tornará sua rede mais

segura.

Além disso, siga estas dicas:

Restrinja o acesso à rede sem fio (se sua rede sem fio tiver este recurso) para

horários comerciais ou para quando for usá-la.

• Filtre invasores casuais estabelecendo pontos restritos de acesso à rede para computadores específicos. • Use a encriptação embutida em seu ponto de acesso sem fio para codificar

informações conforme elas viajam através da rede e evitar que qualquer

parte não autorizada leia ou manipule os dados.

“War Driving”

Qualquer um com um laptop, um cartão de rede sem fio, um software baixado gratuitamente, e uma antena feita com uma lata pode invadir redes sem fio.

A maioria das redes sem fio são completamnte desprotegidas. De fato, muitos fabricantes de dispositivos sem fio não acionam a encriptação por padrão. Os usuários não costumam habilitá-la ou usar qualquer outra medida de segurança, facilitando a vida de qualquer um que tenha uma instalação sem fio e queira encontrar e explorar uma conexão. “War driving” é mais do que um trote. Alguns invasores buscam acessar arquivos e danificar sistemas. Felizmente, proteger uma rede sem fio é relativamente fácil, e a maioria dos “war drivers” pode ser detida ou desviada com algumas medidas simples.

Feche portas da rede desnecessárias

O tráfego da rede para várias aplicações é identificado através de portas

numeradas. Para que o tráfego de uma aplicação atravesse um firewall, o

firewall deve permitir o tráfego naquela porta. Para fortalecer a segurança

de sua rede contra o acesso não autorizado, feche as portas que não

estiverem sendo usadas ou que não sejam necessárias usando firewalls de

perímetro, firewalls locais, ou filtros do Internet Protocol Security (IPSec).

Mas cuidado: os produtos de servidores da Microsoft usam uma variedade

de protocolos e portas de rede numeradas para se comunicarem com

sistemas de clientes e servidores. O bloqueio de portas que o Microsoft

Windows Server System utiliza evitar que um servidor responda solicitações

legítimas de clientes, o que significa que o servidor não funcionará

adequadamente, ou simplesmente não funcionará.

Leia Mais a Respeito

• Para ler artigos da Microsoft sobre como proteger sua rede visite, http://www.microsoft.com/brasil/security/smb.mspx

• Para configurar uma política de senha no Windows Server 2003 (ou Small Business Server 2003), vá até www.microsoft.

com/technet/prodtechnol/windowsserver2003/proddocs/

standard/password_grouppolicy.asp

• Para mais informações sobre como mobilizar usa empresa, visite www.

microsoft.com/smallbusiness/gtm/mobilize/hub.mspx

Passo 5

Proteja Seus Servidores

Se você pensar em seus servidores como os centros de comando de sua rede,

fica fácil entender porque é tão importante protegê-los de ataques. Se os seus

servidores são comprometidos, toda sua rede está risco. Apesar de alguns

ataques a servidores serem apenas irritantes, outros podem causar sérios danos.

Se voce possui uma pequena empresa, talvez voce não tenha mais do que

um ou dois servidores. Mas não importa o número, sua rede depende deles.

Eles servem as aplicações, páginas da web,

ou e-mail que seus funcionários precisam para trabalhar. Eles armazenam recursos de informações confidenciais e valiosas. Eles oferecem aos seus clientes meios para se comunicarem com você, ou mesmo contratar serviços e comprar produtos de sua empresa.

Portanto, se os seus servidores não estiverem operando, você perde produtividade, coloca em risco o relacionamento com clientes, e pode até sofrer um golpe econômico.

Passos Básicos a Serem Dados

Muitos dos procedimentos já abordados ajudarão a proteger seus servidores

também. Caso você não tenha tomado as medidas descritas neste guia, torne-

as prioridade. Mesmo que você tenha lidado com as medidas de segurança

discutidas até agora, ainda existem algumas coisas a serem feitas para proteger seus servidores.

Mantenha seus servidores num local seguro

As empresas devem se certificar de que seus servidores não estão vulneráveis a

calamidades físicas. Mantenha estas maquinas numa sala trancada e bem ventilada, e não num corredor ou embaixo de uma mesa. Os servidores nunca devem ser utilizados como estações de trabalho. A sua sala de servidores deve ter apenas uma porta com chave e não deve ter janelas. Os gabinetes dos servidores também devem ser trancados para impedir a interferência em seus componentes internos. Saiba quais funcionários possuem a chave para a sala dos servidores. Mantenha também um registro dos números de série de seus servidores e marque as máquinas com informações sobre sua empresa para que possam ser identificadas em caso de roubo.

Pratique o privilégio mínimo

O princípio do privilégio mínimo dita que o usuário deve receber as permissões

necessárias apenas para desempenhar seu trabalho, e não mais do que isso. Com o Windows 2000 Server, Windows Server 2003, e Small Business Server 2003, é possível designar aos usuários níveis de permissão diferentes recursos locais e da rede.

Ao invés de dar a todos os usuários o acesso de Administrador — o que não é

a melhor prática para manter um ambiente seguro para seus servidores e

estações de trabalho—use seus servidores para gerenciar os computadores

clientes. Os servidores Windows podem ser configurados para dar aos usuários

individuais acesso a programas específicos e para definir quais privilégios de

usuário serão permitidos no servidor. Desta forma, você garante que os

usuários não farão mudanças em áreas cruciais para o servidor ou para as

operações nas estações de trabalho. Também evita que os usuários instalem

softwares que podem introduzir um vírus ou spyware nos computadores, e

assim comprometer a integridade de toda a rede.

Conheça suas opções de segurança

Os s istemas operacionais atuais estão mais seguros do que nunca, mas as

poderosas configurações de segurança encontradas nos produtos do

Windows Server System apenas surtirão efeito se forem usadas

apropriadamente e monitoradas atentamente. Se a sua equipe não possui

um especialista em TI ou em segurança, considere a possibilidade de

contratação de um consultor externo para ajudá-lo a proteger seus

servidores adequadamente.

Leia Mais a Respeito

• Para artigos sobre como proteger seus servidores, visite o Centro de Orientações de Segurança para Pequenas Empresas na página http://www.microsoft.com/brasil/security/smb.mspx

• Para informações sobre o Windows Server 2003 ou Small

Business Server 2003, visite www.microsoft.com/server/ Voce também pode encontrar informações sobre o uso de servidores

em sua rede no guia Networking Basics for Small Businesses, disponível

na página www.microsoft.com/smallbusiness/

gtm/encomm/freetrial.mspx

Passo 6

Passo 6 Proteja Aplicações Line-of-Business

Proteja Aplicações Line-of-Business

Passo 6 Proteja Aplicações Line-of-Business

Certifique-se de que aquele software fundamental para suas operações empresariais

esteja totalmente protegido. Vulnerabilidades internas e externas podem causar perda

de produtividade—ou pior. Muitas empresas dependem de programas especializados

para tarefas de contabilidade, execução de sistemas de vendas, acompanhamento de

inventário, e gerenciamento da cadeia de fornecimento. Estes programas—às vezes

chamados de aplicações line-of-business (LOB)—geralmente são executados num

servidor e operam em conjunto com um banco de dados. Esta instalação integrada

oferece grandes vantagens. Diversos funcionários podem trabalhar com um programa

LOB e acessar o banco de dados – tudo ao mesmo tempo.

Entenda Seus Requisitos Empresariais

Não importa que tipo de empresa voce dirige, é importante que voce tome as precauções abordadas neste guia. Em algumas empresas, no entanto, regulamentações governamentais, diretrizes de seguros e acordos especiais exigem que sejam tomadas precauções extras.

• Regulamentações governamentais podem exigir que medidas sejam tomadas para proteger as informações coletadas pela sua empresa. Por exemplo, provedores de assistência médica são regulados pelo Health Insurance Portability and Accountability Act (HIPAA), que previne contra o uso indevido de informações de saúde que possam ser identificadas pessoalmente e limita o compartilhamento destas informações. A conformidade com o HIPAA é cada vez mais importante já que dados dos pacientes são transmitidos entre as instituições de saúde.

• Políticas de seguro, especialmente políticas de responsabilidade empresarial, podem exigir procedimentos específicos para garantir a segurança dos dados em seus computadores. Algumas políticas chegam a ditar quais equipamentos e procedimentos devem ser usados.

• Acordos especiais incluem contratos como termos de serviço, que freqüentemente abrangem garantias de privacidade para seus clientes, e acordos de não revelação, que impedem o compartilhamento de informações confidenciais de clientes.

Ao criar um plano e políticas de segurança para sua empresa, certifique-se de que ler quaisquer regulamentos, políticas de seguros ou acordos que possam afetá-lo.

Por exemplo, um vendedor poderia usar o programa para graver os números das vendas, enquanto o gerente cria um relatório financeiro customizado.

Mas também existem riscos de segurança para tais configurações. Informações de clientes, números de vendas, declarações de lucro ou prejuízo e outros dados vitais para sua empresa localizados num servidor de rede estão vulneráveis para invasores. E talvez você não queira que todos os funcionários tenham acesso a todos os tipos de dados.

O desafio é criar um plano de segurança que proteja a integridade e a

privacidade dos programas LOB e, no entanto, suporte também a colaboração e o acesso de dados eficiente. Para mais informações, veja “Conheça Seus Requisitos Empresariais.”

Passos Básicos a Serem Dados

A proteção de seu banco de dados contra bisbilhoteiros indesejados e outras

ameaças começa com o estabelecimento de medidas básicas de segurança em seu local de trabalho. Como já foi dito em outros artigos de segurança , você deve:

• Instale firewalls. O Small Business Server 2003, que muitas pequenas empresas executam em combinação com suas aplicações, já vem com a tecnologia do firewall. A edição Premium do software do servidor inclui o ISA Server—uma solução avançada de firewall.

• Instale softwares antivírus em todos os computadores. A execução de um antivírus em seu servidor é tão importante quanto nos computadores desktop. Procure por um software antivírus que detecte e desative vírus, e que possa ser atualizado regularmente para filtrar novos vírus.

• Use senhas fortes. As senhas devem exigidas para o login em qualquer

computador e servidor do seu local de trabalho. Senhas fortes devem conter um mix de maiúsculas e minúsculas, números e símbolos. Exija que os usuários troquem suas senhas regularmente.

• Faça backup de arquivos. Desastres acontecem, e se você não tiver

salvado seus arquivos e informações importantes num sistema de

armazenamento separado, todos os seus dados de aplicações críticas

podem ser perdidos. O Small Business Server 2003 inclui um recurso de

backup que é fácil de ser usado.

• Atualize seu software. As atualizações de software geralmente incluem

os últimos recursos de segurança. As atualizações dos produtos da

Microsoft estão disponíveis no Windows Update e no Centro de

Download da Microsoft.

Regulamente o acesso às informações

Nem todos devem ter acesso a tudo no local de trabalho. Se a sua empresa

executa um sistema operacional do Windows Server, você pode restringir o

acesso de funcionários a documentos, planilhas ou outros arquivos

empresariais. Você também pode determinar se um usuário pode apenas

ler um documento ou alterá-lo. Siga estas dicas para regulamentar o

acesso:

• Designe permissões e privilégios para grupos de usuários ao invés de

usuários individuais. Isto economiza tempo na administração dos

direitos de acesso.

• Crie seus grupos com base em funções, como Representantes de Vendas.

Então, estabeleça um conjunto de permissões que são relevantes para

o desempenho das tarefas desta função.

• Estabeleça para cada grupo níveis mínimos necessários de direitos de

acesso para que os usuários façam seu trabalho.

Preste atenção no banco de dados

Os programas empresariais específicos geralmente usam um banco de dados

para armazenar dados de aplicações, por isso lembre-se de tomar cuidados

especiais com a segurança dos bancos de dados. Algumas medidas podem

ser tomadas neste sentido:

• Instale os service packs para bancos de dados mais recentes. A edição Premium do software do servidor já vem com o Microsoft SQL Server

2000 ou superior. Ao usar estes programas de banco de dados junto

com seus programas empresariais, certifique-se de instalar as ultimas

atualizações e service packs para maior segurança. O Centro de

Download da Microsoft tem as aplicações de servidor e atualizações

mais recentes.

• Avalie a segurança de seu servidor com o MBSA. O MBSA é uma

ferramenta gratuita que você pode obter através de download e usar para

rastrear seu computador autônomo ou sua rede de computadores em

busca de vulnerabilidades. Com o MBSA, você pode facilmente encontrar

atualizações de seguranças para os sistemas do Windows 2000, Windows

XP, e Windows Server 2003. O MBSA também trabalha com aplicações de

desktop como o Office e aplicações de servidor como o Microsoft

Exchange Server. Após rastrear sues computadores, o MBSA fornece

informações sobre a localização e a instalação das atualizações

necessárias.

• Sempre que possível, use as senhas e contas de usuário do domínio

existente para conexões com os bancos de dados do SQL Server ao

invés de criar novas contas. Os usuários não terão que memorizar

diversas senhas e esta técnica também ajuda a proteger contra a

maioria dos ataques com base na Internet contra o banco de dados

• Isole seu servidor e faça o backup dele regularmente. O isolamento físico

e lógico é o alicerce para a segurança do SQL Server. Os

computadores que hospedam um banco de dados deveriam estar

num local protegido fisicamente. Faça o backup dos dados

regularmente, e armazene algumas cópias em um local seguro fora

do escritório.

Microsoft Business Solutions Customer Relationship Management

Algumas aplicações LOB eliminam muito do trabalho envolvendo a configuração de direito de acesso. Um exemplo é o Microsoft Business Solutions Customer Relationship Management (CRM), um programa sofisticado que acompanha vendas e oferece suporte para o relacionamento com os clientes. O Microsoft Business Solutions CRM geralmente é executado em combinação com o Small Business Server 2003 e vem com oito funções pré-definidas que vão desde CEO-Business Manager até Representante de Atendimento ao Consumidor, até Profissional de Customer Marketing.

O programa também pré-define elementos empresariais comuns aos quais você pode designar direitos de acesso, como Lideranças, Oportunidades, Contatos, Contabilidade, Concorrência, Produtos, Quotas, Pedidos, Histórico de Vendas, Faturas e Contratos.

Leia Mais a Respeito

• Para artigos da Microsoft sobre proteção de aplicações Line-of Business, visite http://www.microsoft.com/brasil/security/smb.mspx

• Para downloads disponíveis da Microsoft, visite www.microsoft.com/downloads/

• Para informações sobre o MBSA, visite http://www.microsoft.com/brasil/technet/seguranca/Mbsa/

Passo 7

Gerencie Computadores de um Servidor

Sem o estabelecimento de procedimentos administrativos severos, os usuários podem por em risco, de forma não intencional, as medidas de segurança tomadas para proteger sua empresa. Quando você pensou que havia seguido todas as regras para proteger seus negócios contra vírus, hackers, e ladrões, dá-se de cara um funcionário com uma idéia que pode anular todas as medidas de segurança implementadas até então.

Como se sabe, é preciso muito empenho para proteger sua empresa das ameaças externas. Se você iniciou este processo atualizando seu software e antivírus e instalando um firewall, significa que já foram investidas quantidades significativas de tempo e dinheiro.

Infelizmente, a falta de procedimentos administrativos rígidos pode sabotar inconscientemente todos estes investimentos em segurança, revertendo as mudanças feitas ou até mesmo introduzindo novos riscos. Os usuários podem não estar atentos às atualizações, e podem fazer o download de softwares potencialmente perigosos, e podem ainda não estar atentos sobre o acesso não autorizado aos dados em seus computadores.

Passos Básicos a Serem Dados

Uma solução é gerenciar os computadores desktop e laptop de seu servidor.

abordagem não apenas reduz o risco de sabotagem das medidas de segurança, como também representa uma economia significativa de tempo e dinheiro, e graças à eficiência você terá ganhado como:

Esta

• Atualizações na hora certa. Você pode implantar correções de segurança e

atualizações com as novas versões do software, do servidor para os computadores dos usuários. Desta forma, você saberá que as atualizações foram feitas adequadamente e oportunamente, e não terá que depender dos usuários para lembrar de fazê-as. Também é possível testar as atualizações

antes da implantação e certificar-se de que os computadores na rede aplicam suas próprias atualizações.

• Configurações especiais. Se a sua organização possui preferência por

configurações para o sistema operacional ou para as aplicações usadas por todos, estas podem ser gerenciadas, atualizadas e impostas para toda a organização a partir do seu servidor. Além disso, você pode evitar que usuários instalem programas não autorizados ao restringir suas a habilidades para executar programas de CD-ROMs e outros drives removíveis ou mesmo impedir que façam download de programas da Internet.

• Monitoramento. Se ocorrer um acesso não autorizado ou uma falha no sistema, tal situação pode ser detectada imediatamente através das capacidades de monitoramento disponível num ambiente gerenciado – uma rede baseada num servidor cujo software de monitoramento está sendo usado.

Se você está considerando um primeiro servidor ou uma atualização de servidor para sua empresa, vale a pena notar que as melhorias nas capacidades de gerenciamento do Windows Server 2003, junto com os recursos de segurança aperfeiçoados do Windows XP Professional com SP2, oferecem uma defesa poderosa contra ameaças internas e externas.

Leia Mais a Respeito

• Para artigos da Microsoft sobre gerenciamento de desktops e laptops do servidor, visite http://www.microsoft.com/brasil/security/smb.mspx • Saiba como o Windows Server Update Services (WSUS) pode ajudá-lo a simplificar e automatizar a implantação de atualizações na página http://www.microsoft.com/brasil/technet/seguranca/wsus/default.mspx

Criando uma Política de Segurança

Uma política de segurança estabelece diretrizes que definem a abordagem de

uma organização em relação à segurança. Uma política é diferente de um

plano no sentido que o plano é uma ação a ser feita, enquanto uma política

define as metas de um plano.

Sua política de segurança será na verdade uma coleção de diversas políticas, as

quais podem incluir diretrizes sobre o uso de e-mail e Internet pelo

funcionário, acesso administrativo, e acesso remoto. Uma política é útil

apenas quando é aplicada. Não é uma boa idéia criar políticas que sejam mais

rígidas ou mais complicadas do que aquilo que estamos dispostos a cumprir.

Uma política não é imutável, mas sim um documento vivo. Uma boa política

deve ser passível de alteração para que possa acomodar novas ameaças, novas

tecnologias e novas maneiras de pensar.

Apesar das necessidades únicas de segurança de cada organização, a

maioria das políticas de segurança lida com alguns elementos em comum.

(Para mais informações, veja “Esclareça seus Funcionários Sobre Questões de

Segurança.”) O SANS Institute define diversos pontos que devem ser

incluídos numa boa política de segurança:

• Objetivos. Esta seção estabelece claramente a razão pela qual existe uma política de segurança.

• Escopo. Esta seção identifica as pessoas e sistemas afetados pela política .

• Bens Protegidos. Esta seção identifica quais bens a política protege. Servidores de

mail, bancos de dados e websites são bens empresariais comuns que precisam ser

protegidos. Pense nesta seção como um desenvolvimento dos objetivos.

• Responsabilidades. Esta seção da política identifica os grupos ou indivíduos

responsáveis pela implementação das condições da política .

• Cumprimento. Esta seção da política discute as conseqüências para a violação da

política. Algumas autoridades recomendam recorrer ao local apropriado no manual

do funcionário ao invés de trazê-lo diretamente na política de segurança para assim

evitar questões legais.

Esclareça Seus Funcionários Sobre Questões de Segurança

Você pode trancar serv idores e desktops, insta lar firewalls, e manter s oftwa res atualizados, mas a tarefa mais difícil na proteção de sua empresa é fazer com que seus funcionários sigam as diretrizes de segurança. Felizmente, se você explicar a eles porque a segurança é importante, mostrá-los as políticas de segurança estabelecidas e porque elas existem, e encorajá-los a cumpri-las, seus funcionários podem se tornar sua linha de frente na defesa.

• Inclua seus funcionários quando estiver criando um plano de segurança. Se torná-los parte do processo, eles estarão motivados para tornar o plano uma realidade.

• Faça sessões de treinamento com os funcionários nas quais você os ensinará sobre a importância das técnicas de segurança. Mostre a eles como identificar e-mails enganosos, garantir que o sistema operacional e o software antivírus estejam atualizados, e usar senhas fortes.

• Explique também como os hackers criminosos tentam obter informações. Os funcionários não devem anotar senhas em locais que outras pessoas possam ver. Não devem jamais fornecer sua senha ou nome de usuário pelo telefone—mesmo para alguém que pensem ser de confiança. E por último, os funcionários devem ser encorajados a não discutir informações confidenciais ou precauções sobre segurança em locais públicos. Os hackers muitas vezes tentam enganar ou persuadir funcionários para que estes revelem informações confidenciais , uma técnica chamada de social engineering (engenharia social).

• Prepare políticas escritas para o uso da Internet e do e-mail, o uso de computadores da empresa projetos pessoais, etc. Faça seus funcionários assinar uma cópia da política para que compreendam a seriedade da questão. Explique também as conseqüências do não cumprimento das políticas da empresa .

• Treine funcionários novos e antigos regularmente sobre as questões e políticas de segurança.

Acima de tudo, converse com seus funcionários sobre segurança. Este deve ser um assunto discutido freqüentemente para que as boas técnicas de segurança façam parte dos hábitos e da rotina.

Política de Acesso Remoto. Descreve os métodos aceitáveis para a conexão remota com a rede interna, como, por exemplo, se os funcionários podem se conectar à rede a partir do computador de suas casas.

Política de Proteção de Informações . Fornece diretrizes para os funcionários sobre o processamento, armazenamento e transmissões de informações confidenciais.

Política de Proteção contra Vírus . Fornece requisitos básicos para o uso de software antivírus software bem como diretrizes para o trato de infecções por vírus.

Política de Senha. Fornece diretrizes sobre como as senhas de funcionários e do sistema são gerenciadas e alteradas.

Política de Segurança do Firewall. Descreve, em geral, como os firewalls são configurados e mantidos, e por quem.

Para mais informações sobre políticas de segurança, visite www.sans.org

e mantidos, e por quem. Para mais informações sobre políticas de segurança, visite www.sans.org Página 55

Criando um Plano de Segurança

Você precisa de um plano. A Segurança não é uma tarefa única e isolada, mas sim um emaranhado de tecnologias, pessoas, políticas e processos. Um plano coordena todos os esforços de segurança para atender às políticas de segurança de sua empresa sem deixar brechas.

Existem quatro passos para a criação de um bom plano de segurança: avaliar, planejar, executar e monitorar. Antes de dar o primeiro passo, neo entanto, sua organização precisa desenvolver uma simples política de segurança. Primeiro, use os sete passos da seção anterior deste documento como um checklist e os aplique a todos os computadores de sua empresa. Em segundo lugar, após ter completado a auditoria, priorize os itens da ação de acordo com sua probabilidade e impacto. Em terceiro lugar, considerando cada risco de acordo com sua prioridade, decida como transferi-lo, mitigá-lo ou evitá-lo (ou mesmo conviver com ele). Finalmente, forme uma equipe, distribua recursos e responsabilidades, e leve seu plano adiante. Monitore seu plano para garantir revisão e conformidade contínuas.

Um bom plano hoje é melhor do que um plano perfeito amanhã. O planejamento de segurança é um processo cíclico e repetitivo, portanto faz sentido executar um plano rápido agora e refiná-lo mais tarde.

Avalie

• Saiba quais são suas habilidades e conhecimento. Decida se ajuda externa ou treinamento são necessários e contrate um consultor se for preciso.

• Analise a situação atual da segurança. Use nosso questionário, o plano de sete passos e o MBSA. O MBSA é um programa gratuito que rastreia sistemas individuais ou múltiplos em toda a rede em busca de problemas comuns na configuração do sistema ou de atualizações de segurança que não foram realizadas. Conheça o MBSA na página http://www.microsoft.com/brasil/security/ferramentas.mspx

• Identifique bens que precisam ser protegidos, como hardware, software,

dados, documentação e pessoas. Identifique também informações contábeis,

procedimentos administrativos e conformidade legal.

Categorize suas informações de acordo com o grau de confidencialidade. Use

a seguinte escala: público (dados do website), interno (dados de marketing),

confidencial (folha de pagamento) e secreto (patentes).

Identifique os serviços exigidos. Inclua serviços como acesso remoto e e-

mail.

Preveja ameaças. Inclua ameaças como spoofing, alteração, repúdio,

revelação de informações, DoS, e elevação de privilégios. Considere o

uso de terceiros confiáveis para testar a exposição.

• Calcule a exposição para cada bem e serviço em relação a cada ameaça. Use a

fórmula: probabilidade x impacto = exposição para gerar uma lista das

prioridades de segurança.

Planeje

• Lembre-se que o objetivo não é eliminar todos os riscos não importa o custo,

mas minimizar os riscos o máximo possível. Estes são os três fatores

principais:

- Funcionalidade versus segurança necessária

- Facilidade de uso versus segurança

- Custo da segurança versus risco de perda

• Para cada risco, planeje como transferir, evitar, mitigar ou (na pior das

hipóteses) conviver com ele.

• Crie um plano de segurança que:

- .Inclui uma política definindo os requisitos de segurança da organização e os usos aceitáveis

- Tenha procedimentos para a prevenção, detecção, e reação aos incidentes de segurança

- Fornece uma estrutura de trabalho que reforce a conformidade

- Reflita a cultura da organização e os recursos disponíveis para implementação

• Crie um plano para lidar com brechas na segurança (por exemplo, um

ataque de vírus):

- Quais são as metas e objetivos ao lidar com um incidente?

- Quem deve ser notificado em caso de incidente?

- Como identificar um incidente e determinar sua seriedade?

- O que deve acontecer quando ocorre um incidente?

• Crie uma equipe de projeto. Inclua gerencia e funcionários. Dê a todos papeis e responsabilidades claramente definidas.

• Crie uma linha do tempo do projeto.

• Anote tudo e certifique-se de que todos estejam de acordo.

Execute

• Comunique-se com a equipe e ofereça treinamentos sempre que necessário.

• Teste medidas para adequação técnica e obtenha feedback dos participantes.

• Modifique o plano, se necessário.

• Execute o plano.

Monitore

• Pesquise novas ameaças, e inclua novos riscos assim que tomar conhecimento deles:

- Faça assinaturas de boletins de segurança.

- Treine usuários.

• Modifique o plano quando ocorrer mudanças na equipe, na organização, no hardware, ou software.

• Faça manutenções constantes, como atualizações de vírus, treinamento de novos usuários e backups.

Para mais informações sobre como avaliar e gerenciar riscos de segurança, veja o Guia de Gerenciamento de Risco de Segurança da Microsoft na página http://www.microsoft.com/brasil/security/guidance/riscos/default.mspx. Este guia traz recomendações para grandes organizações e para pequenas empresas com necessidades severas de segurança. Muitas das abordagens discutidas no guia podem ser úteis para compreender sobre como reduzir os riscos de segurança em pequenas empresas.

Exemplo de Plano de Segurança: Adventure Works

O plano de segurança seguinte foi elaborado para uma empresa fictícia chamada Adventure Works. Devido ao aumento de interesse em segurança no mundo da computação, a companhia decidiu revisar suas práticas de segurança e elaborar um plano para melhorá-las e torná-las mais eficientes . As necessidades da Adventure Works podem ser diferentes das suas, mas a leitura do plano pode ajudá-lo a compreender o processo de criação de um bom plano de segurança.

Este plano foi desenvolvido por Matthew, Diretor de Gerenciamento da Adventure Works, com a cooperação

Este plano foi desenvolvido por Matthew, Diretor de Gerenciamento da Adventure Works, com a cooperação de outros membros-chave da equipe da Adventure Works.

Seção 1: Introdução

Este plano foi desenvolvido por Matthew, Diretor de Gerenciamento da Adventure Works, com a cooperação de outros membros-chave da equipe da Adventure Works.

Sobre a Adventure Works

Somos uma empresa de 20 funcionários, especializados em pacotes de viagem de aventura. Nossa equipe conta com designers, agentes de turismo, equipe de vendas e marketing, e equipe administrativa. Além deles, temos ainda os gerentes de negócios seniores: os fundadores Mathew e Denise, e o gerente de finanças, Steve.

Objetivos

Este é o nosso primeiro plano de segurança. Nós teremos uma visão abrangente dos riscos de segurança que a empresa enfrenta e realizaremos uma ação imediata para reduzir nossa exposição. Todos se lembram do ataque de vírus que sofremos no começo deste ano, e queremos evitar outro desastre como aquele! No entanto, espero que, com uma visão aberta, possamos fazer planos contra as ameaças que ainda não conhecemos.

Eu sei que nosso tempo, funcionários e (é claro) o dinheiro são limitados. Nossa maior prioridade é continuar o crescimento de um negocio bem sucedido. Nós não queremos uma segurança como a da CIA ou FBI, e não seria bom para nós transformar a Adventure Works em uma Fortaleza como o Fort Knox. O time do projeto pesou estas limitações cuidadosamente antes da decidir o que fazer e tentaram criar um equilíbrio entre custo, praticidade, conforto e medidas de segurança. Nós todos concordamos, porém, que não fazer nada não seria uma opção.

Estou assumindo a responsabilidade pela liderança desta revisão e assegurando que todos os itens da ação serão feitos. Estou preocupado com os riscos que enfrentamos, e apesar de ter revisto o plano, tenho certeza que podemos encará-lo corretamente. Este projeto tem todo meu apoio e é de alta prioridade para a empresa.

Circulação

Como este documento possui informações de segurança importantes, ele é confidencial.

Você deve mantê-lo em gaveta com fechadura quando não estiver realmente usando-o e, por favor, não faça fotocópias nem perca de vista. Nós não mandaremos este documento por e-mail nem o teremos gravados no servidor—cópias no papel apenas, por favor. As seguintes pessoas terão acesso autorizado a este documento:

Matthew (Diretor de Gerenciamento)

Denise (Diretora de Operações)

Steve (Tesoureiro- Controlador Financeiro)

Kim (Gerente de Pessoal)

Sutton & Sutton (nossos advogados)

Jeremy (nosso consultor de segurança externo)

Equipe de Projeto

O time do projeto inclui:

Denise, líder do projeto

Steve

Kim

Jeremy, aconselhando nossa equipe e fazendo algumas das implementações

Em adição, consultamos alguns membros da equipe de vendas, marketing e design para obter respostas sobre o que eles queriam e como este plano os afetaria.

Seção 2: Resultados da Avaliação

Nossa avaliação revelou os seguintes resultados:

Habilidade e Conhecimento

Nosso consultor de tecnologia, Jeremy, é familiarizado com toda esta situação e será nosso guia. No entanto, precisamos internalizar o máximo de conhecimento possível, fazendo nós mesmos o máximo do trabalho. Isso também nos ajudará a economizar dinheiro. Por sorte, o Steve é um amador entusiasta em computação. Ele fez um curso de treinamento em segurança.

Cada membro do time de projeto leu os guias de planos de segurança da Microsoft e o Internet Engineering Task Force (IETF) como preparação. Toda a empresa como um todo entende razoavelmente o básico, mas (com algumas exceções) tende a enxergar os computadores apenas como uma ferramenta para facilitar o trabalho, e não sabe muito sobre o seu funcionamento.

Nossa Rede e Sistemas

Desktops: Vinte e dois (um por membro da equipe e mais duas máquinas agindo como servidores de impressão) • Laptops: Seis (um de cada diretor, um para Steve e outros três para o time de vendas) •Impressoras: Duas (uma high-end plotter e uma unidade impressora/ fax para uso geral) • Servidores: Um (executando o Small Business Server 2003 e cuidando de arquivos, da conexão com a Internet, de e-mails e do banco de dados dos clientes) •Conexão deInternet: conexão a cabo de 1.5 Mbps

O servidor e vários dos computadores são conectados com cabo 100 Mbps Cat5 Ethernet. O resto é ligado por uma rede sem fio 802.11g com uma porta de acesso. Todos os computadores executam o Windows XP Professional exceto os servidores das impressoras que executam Windows 98.

Segurança

Nós comparamos cada computador com a lista de verificação do Guia de Segurança para Pequenas Empresas. Nós também executamos o MBSA. Estas ações produziram os seguintes resultados:

Proteção de Vírus: Ausente em seis computadores; desatualizada em quatro computadores; no geral a maioria dos usuários estava ciente do risco de vírus mas não tinha certeza de como preveni-los.

Software de Filtro de Spam: Muitos usuários haviam começado a reclamar do spam, mas não há proteção.

Firewall: Achávamos que o roteador do ISP incluía um firewall, mas não inclui, então nós não temos um.

Atualizações: Todos os sistemas do Windows XP Professional estão atualizados porque foram automaticamente checando e fazendo

o download das atualizações. Porém, várias instalações do

Microsoft Office precisam ser feitas e os computadores Windows

98 estão desatualizados.

Senhas: Uma amostra aleatória descobriu que a maioria das pessoas não usa nenhuma senha ou as têm escritas em papel (Post-it). Nenhum dos computadores laptop são protegidos por senha.

Segurança Física : Nós tivemos uma visita do pessoal do seguro no ano passado, então as travas nas janelas e portas e os alarmes estão em boa forma. No entanto, nenhum dos computadores tem um número de série em sua caixa, e não temos um registro dos números de série. Também notamos que todos, inclusive Tracy e os dois diretores, estão usando a mesma impressora, o que significa que há um risco de documentos confidenciais serem revelados por acidente.

Computadores Laptop: Todos os computadores laptop tinham pastas brilhantes com o logotipo do fabricante. Sem travas de segurança.

Rede sem fio: Estamos totalmente abertos aqui. Montamos e funcionou, então ninguém mexeu na configuração. A rede sem fio

é aberta para pessoas com capacidade de acesso para “bisbilhotar”

a rede interna ou usar a conexão de Internet à vontade.

Navegação na Web: Todos pensam que ter Internet de velocidade rápida é uma grande facilidade, mas estão usando o tempo todo

e sem pensar muito nos riscos. Em uma auditoria de filtro de

conteúdo (gratuita com Secure Computing), descobrimos que 20% da navegação na Internet não é relacionada a trabalho. Nós não temos uma política de aceitação de uso, e ninguém está tomando medidas de segurança.

Backups: Nos fazemos backup de dados no drive Digital Audio Tape (DAT) do servidor, semanalmente, mas não testamos os dados guardados; a não ser que as pessoas se lembrem de copiar arquivos locais no servidor, estes arquivos não têm backup, o que é insatisfatório. O servidor contém nosso banco de dados primário dos clientes então backups bem testados são essenciais, assim como manter uma cópia em outro local.

Capital

Além dos bens físicos, nossos maiores bens são:

Nossos projetos de produtos e marketing paralelo

Registro dos contratos com vendedores

Nosso banco de dados de e-mail e arquivos de e-mails antigos

Pedidos de venda e banco de dados de clientes

Informações Financeiras

Software Line-of-Business (LOB) para reservas e agendamento online

Registros legais guardados em vários armários de arquivos

Todos estes capitais são considerados secretos e devem ser acessados apenas em caso de emergência. Além disso, eles precisam ser protegidos e gravados como backup da maneira mas segura possível.

Riscos

Achamos que os principais riscos se dividem em três categorias:

Invasores (vírus, worms, seqüestro de recursos do nosso computador ou da conexão de Internet, uso malicioso aleatório). Estes são riscos que qualquer computador conectado à Internet corre. Risco alto, prioridade alta.

Ameaças externas (rivais, ex-funcionários aborrecidos, bandidos atrás de dinheiro e ladrões). Eles podem usar as mesmas ferramentas de um hacker, mas mirando propositalmente em nós, eles podem tentar induzir membros da equipe a fornecer informações confidenciais ou usar material roubado e nos chantagear ou nos prejudicar. Nós precisamos proteger nossos capitais com segurança física e eletrônica. Risco alto, prioridade alta.

Ameaças internas. Seja acidental ou proposital, um membro da equipe pode abusar de privilégio de descobrir informações confidenciais. Risco baixo, prioridade baixa.

Acidentes e desastres. Incêndios, enchentes, destruição acidental, falhas no hardware ou quebra de computador. Risco baixo, prioridade media.

Prioridades

1. Detenção de Invasores:

Instalação de firewalls • Instalação e atualização de proteção antivírus

Fortalecer a rede sem fio

Substituir quatro computadores operando em Windows 98 por computadores com Windows XP Professional com SP2

Aprimorar as políticas e a educação dos usuários

2. Prevenção contra Roubo:

Segurança dos computadores laptop

Anotação e inventário dos bens

Transferência do servidor para uma sala segura e com chave

Travas de segurança para computadores desktop e laptop

3. Prevenção contra Desastres:

Backups mais freqüentes com armazenagem em outro local

Garantia do backup dos dados locais dos usuários

Backup de documentos impressos críticos em outro local

Testes regulares de backup, efetuando restauração

4. Segurança Interna e Confidencial:

Criação de uma política de senhas reforçada

Proteção de Impressoras para clientes, RH, e diretores

Revisão da segurança para armários de arquivos e documentos oficiais

Seção 3: Plano de Segurança

Após nossa avaliação, desenvolvemos o seguinte plano de segurança:

Itens de Ação

1. Selecionar, comprar e instalar um hardware firewall (ou pedir que nosso ISP ou consultor técnico o faça).

2. Habilitar o Firewall do Windows no servidor e em todos os computadores desktop.

3. Certificar-se de que o software antivírus está instalado em todo os computadores e que está ajustado para atualizar definições de vírus automaticamente.

Assegurar que todos os computadores estejam configurados para atualizações automáticas

4. Configurar os computadores que executam Office Outlook 2003 a usar o filtro Junk E-mail. Selecionar, comprar e instalar um software de filtro de spam no servidor de e-mail se necessário.

5. Nas redes sem fio, desabilitar o serviço de ajuste de

identificador de emissão (service set identifier (SSID) broadcasting,) escolher e configurar uma SSID confidencial,

habilitar criptografia WPC, habilitar filtro MAC, e configurar o ponto de acesso para permitir trafego apenas entre os computadores desktop e laptop dentro do escritório.

6. Substituir os quatro computadores executando Windows 98

por computadores executando o Windows XP Professional com

SP2.

7. Revisar todas as máquinas para assegurar que elas estejam atualizadas, e ajustá-las para renovar automaticamente as atualizações.

8. Comprar pastas de laptop novas, sem marca conhecida e com cadeados.

9. Fazer marcas de segurança em todos os computadores laptop, desktop e seus componentes.

10. Registrar todos os números de série.

11. Comprar e instalar cadeados nas mesas para os desktops.

12. Encontrar uma sala viável, com chaves, para o servidor e

transferi-lo para lá. 13.Revisar os procedimentos de backup e restauração . Assegurar que as informações do usuário sejam guardadas no servidor ou que uma cópia seja mandada antes dos backups. Implementar backups diários. Assegurar que um backup total seja enviado a outro local

uma vez por semana. Assegurar que a senha do backup seja protegida e criptografada. Revisar documentos em papel, e fazer cópias de documentos críticos para armazenar em outro local.

14. Configurar o Small Business Server 2003 e as máquinas individuais para reforçar uso de senhas. Discutir com os usuários o que seria um equilíbrio de conveniência e segurança (Não queremos que eles escrevam suas novas senhas.)

15. Configurar as estações de trabalho para que o registro de usuário se desfaça, e que uma senha seja necessária para o registro, se a estação estiver sem uso por mais de 5 minutos.

16. Comprar impressoras baratas para a contabilidade, RH e os dois diretores, para que eles possam ter seus documentos privados impressos com segurança.

Mudanças nas Políticas

Kim irá atualizar o manual dos funcionários para incluir novas políticas em:

Uso aceitável de e-mail e de Internet

Uso de senhas

Quem pode levar propriedade da companhia para fora do escritório Depois de completar o primeiro rascunho, este será revisado pelos diretores e pelos advogados da empresa antes de ser divulgado.

Educação do Usuário

Devido às mudanças, esperamos oferecer até duas horas de treinamentos para pequenos grupos englobando:

A importância da segurança

Senhas

Segurança do computador e laptop

Prevenção contra vírus

Navegação segura na Internet

Atualização de software e sistemas operacionais de um servidor

Introdução às novas políticas da equipe

Assegurar que os funcionários entendam as conseqüências ao não concordar com as políticas

Avaliar o entendimento das novas políticas pelos funcionários

Periodicamente revisar a prática das novas políticas

Linha do Tempo do Projeto e Responsabilidades

As três prioridades principais—o firewall, proteção de vírus e ajuste da rede sem fio —receberão atenção urgente do nosso consultor de segurança, Jeremy. As tarefas restantes serão feitas uma a uma por nossos funcionários em ordem de prioridade.

Esperamos que as três prioridades principais sejam completadas em uma semana, e as tarefas restantes em 30 dias. Steve será responsável pela compra e execução das mudanças técnicas. Kim será responsável por todos as políticas e requisitos dos treinamentos. Denise irá inspecionar o projeto e será responsável por qualquer outra tarefa que surgir.

Planejamento da Reação

No caso de falha na segurança, entraremos em contato com o Jeremy. Sua empresa possui política de resposta em 1 hora no horário comercial

e quatros horas em todas as outras horas para lidar com incidentes

sérios, como infecção de vírus. Além disso, Steve irá monitorar o servidor

e o firewall regularmente para assegurar que nenhuma violação tenha ocorrido.

Manutenção Avançada e Compatibilidade

Steve será responsável pela segurança no dia a dia, com Denise tendo a responsabilidade completa. Steve continuará a se informar sobre o assunto, a assinar boletins de segurança da Microsoft e do nosso software antivírus, e a se comunicar com Jeremy regularmente para verificar a compatibilidade com as novas políticas.

Uma vez por mês, Steve verificará se o Windows e o software antivírus estão atualizados e se os procedimentos de backup e restauração estão funcionando corretamente. Ele irá também ser responsável por equipamentos novos para que sejam devidamente configurados e atualizados.

Kim será responsável por assegurar que novos funcionários entrando na empresa sejam completamente treinados para as políticas e procedimentos de segurança da empresa.

Haverá uma revisão completa e formal deste plano em seis meses.

Seção 4: Recursos e Orçamento

As seguintes despesas foram aprovadas:

Software e Hardware

Compra de Software Antivírus.

Configuração do Office Outlook 2003 para filtragem de junk e-mail.

Instalação de um hardware firewall.

Substituição dos últimos quatro computadores executando Windows 98 por computadores executando Windows XP Professional com SP2.

Compra de cadeados de segurança e pastas sem marca para os laptops.

Verificar meio de backup adicional.

Ajuda Profissional

Sutton & Sutton para revisar as políticas de funcionários

Jeremy para as orientações durante a criação deste plano

Jeremy para ajuda com a implementação

Recursos Internos

Apesar de não estarmos pagando diretamente aos nossos funcionários, para que fique clara a distribuição de recursos e o tempo disponível para este trabalho, autorizamos o uso de funcionários como descrito anteriormente.

Informações Online

Informações Online

Considere este guia como um ponto de partida para a proteção de sua empresa. Os

seguintes sites oferecem informações técnicas e orientações sobre segurança

adicionais.

Para informações sobre a tecnologia de pequenas empresas e orientações de segurança, veja as páginas www.microsoft.com/brasil/pequenasempresas http://www.microsoft.com/brasil/security/smb.mspx

Para informações sobre como iniciar e administrar uma pequena empresa, veja as páginas (em inglês):

www.asbdc-us.org

www.uschamber.com

www.sba.gov

www.entrepreneur.com

http://sbc.nist.gov

Para informações sobre consumidor e usuário final, veja as páginas http://safety.msn.com (em inglês) www.microsoft.com/brasil/athome/security/

Para softwares empresariais e soluções de produtividade, veja as páginas www.microsoft.com/brasil/office/ www.microsoft.com/brasil/windows/

Para informações sobre servidores, veja as páginas www.microsoft.com/smallbusiness/gtm/encomm/freetrial.mspx (em inglês) http://www.microsoft.com/brasil/pequenasempresas/products/sbs/default.mspx

Para informações sobre softwares autênticos e a lei, veja a página www.microsoft.com/genuine/small_business.mspx?displaylang=en (em inglês) www.bsa.org

Para explicações sobre termos técnicos, veja as páginas (em inglês) www.howstuffworks.com www.webopedia.com

Para informações gerais sobre segurança, veja as páginas www.microsoft.com/brasil/proteja/ www.microsoft.com/brasil/security/ www.microsoft.com/spam/ (em inglês) www.microsoft.com/senderid/ (em inglês) www.microsoft.com/brasil/technet/default.mspx www.symantec.com (em inglês) www.isalliance.org (em inglês)

Para informações sobre crimes de informática, veja as páginas

www.usdoj.gov/criminal/cybercrime/ (em inglês) www.gocsi.com (em inglês) www.kensington.com (em inglês)

Para rede móvel e VPNs, veja as páginas (em inglês) www.microsoft.com/technet/security/topics/mobile/default.asp www.microsoft.com/smallbusiness/gtm/mobilize/hub.mspx

Para informações sobre backups, veja a página (em inglês) www.microsoft.com/windowsxp/home/using/howto/maintain/backup.asp

Para orientações detalhadas sobre a criação de um plano de segurança e para exemplos de políticas veja as páginas (em inglês) www.microsoft.com/technet/archive/security/bestprac/bpent/ bpentsec.mspx www.sans.org

Para informações sobre software de filtragem da Internet, veja as páginas (em inglês) www.websense.com www.securecomputing.com

Para mais informações técnicas, veja as páginas www.microsoft.com/brasil/security/ www.microsoft.com/brasil/technet/seguranca www.cert.org/tech_tips/home_networks.html (em inglês) www.ja.net/documents/factsheets.html (em inglês)

Para saber mais sobre firewalls, veja as páginas www.microsoft.com/technet/security/topics/network/firewall.mspx (em inglês) www.mcafee.com (em inglês) www.symantec.com (em inglês) www.zonelabs.com (em inglês)

Para saber mais sobre software antivírus e segurança de e-mails, veja as páginas www.grisoft.com (em inglês) www.symantec.com/smallbiz/nav/ (em inglês) www.mcafee.com (em inglês) www.pandasoftware.com (em inglês) www.bitdefender.com (em inglês)

Para obter atualizações de softwares do Windows e Microsoft Office, veja as páginas www.windowsupdate.com www.officeupdate.com

Para um glossário completo de termos de segurança, veja a página http://www.microsoft.com/brasil/security/glossary. mspx

www.microsoft.com/brasil/pequenasempresas © 2005 Microsoft Corporation. Todos os direitos reservados. Microsoft, MSN,

www.microsoft.com/brasil/pequenasempresas

© 2005 Microsoft Corporation. Todos os direitos reservados. Microsoft, MSN, Windows, Outlook, Exchange Server, Windows Server, SmartScreen e o logotipo da Microsoft são marcas ou marcas registradas da Microsoft Corporation nos Estados Unidos e/ou em outros países.