Joel Simberg Vieira

Liberdade e restrio de uso da Internet e das mquinas em uma rede corporativa.

So Paulo 10/2011

Joel Simberg Vieira

Liberdade e restrio de uso da Internet e das mquinas em uma rede corporativa.

Artigo apresentado para PECE Programa de Educao Continuada em Engenharia da Escola Politcnisca da Universidade de So Paulo Curso de Especializao Tecnologia da Informao em Direito e

Disciplina: Software: Conceitos, Tecnologias e Negcios

Professor Doutor Edson S. Gomi Professora Doutora Anarosa Alves Franco Brando

So Paulo 10/2011

Joel Simberg Vieira

Liberdade e restrio de uso da Internet e das mquinas em uma rede corporativa.

Artigo apresentado para PECE Programa de Educao Continuada em Engenharia da Escola Politcnisca da Universidade de So Paulo Curso de Especializao Tecnologia da Informao em Direito e

Disciplina: Software: Conceitos, Tecnologias e Negcios

Professor Doutor Edson S. Gomi Professora Doutora Anarosa Alves Franco Brando

So Paulo 10/2011

RESUMO

Esse artigo visa apresentar as dificuldades de conciliar segurana institucional e atendimento das necessidades do usurio, sem restringir alm do necessrio. Tambm demonstra que a questo da segurana deve alcanar todos os funcionrios para que eles se tornem participantes da poltica de segurana, assumindo responsabilidades no s sobre o que fazem, mas tambm fazendo o papel de vigilantes sobre comportamentos que possam vir a ser danosos a segurana.

Palavras chave: Segurana. Negcio, Organizao.

Restrio,

Institucional,

ABSTRACT

This article aims to present the difficulties of reconciling institutional security and meeting user needs, without restricting than necessary. It also demonstrates that the issue of security must reach all employees so that they become participants of the security policy, taking responsibility not only about what they do, but also playing the role of "vigilant" about behaviors that may be harmful to security.

Keywords: Security. Restriction, Institutional, Business, Organization.

Sumrio
INTRODUO................................................................................................................................................7 ENTREVISTA..................................................................................................................................................7 Segurana..........................................................................................................................................................8 portaria interna DIR-942/2006......................................................................................................................10 Poltica de Segurana da Universidade de Princeton..................................................................................12 CONCLUSO................................................................................................................................................13

INTRODUO
Tenho me deparado com a gesto de segurana na rede da instituio e tento compreender a sonoro debate que ocorre pelas partes: os alunos, professores, funcionrios e colegas da minha seo, bem como outros Analistas e Tcnicos da USP, cada um com sua opinio, viso, argumentos e experincia com relao segurana no uso dos equipamentos, da rede e do acesso Internet. A questo de segurana abrange muitos itens como: colocao de Firewalls, de IDS (Intrusion Detection System), no uso de Proxys, na converso para IP's Administrativos com NAT (Network address Translation), no uso de sistemas DMZ (Demilitarized Zone), sem falar em Anti-Vrus, atualizao dos sistemas operacionais e muitas outras medidas, incluindo poltica de senhas, logs, certificao digital, etc. Mas, quero tratar nesse artigo sobre a poltica de segurana da instituio e como ela vista pelos usurios internos, se o conceito de segurana que se limita a fechar tudo de fato a melhor poltica. Como resolver essa gama de interesses diferentes, hoje vejo que a ideia bsica atender a funo precpua da utilizao dos equipamentos e da rede e no atender os desejos pessoais dos usurios. Temos que entender qual o verdadeiro propsito da utilizao do equipamento, quem tem direito de acesso e quais sero esses alcances. Da mesma forma temos que ver como criar um sistema de segurana para esses acessos. Isso no quer dizer, que no devamos ouvir todos os usurios, mesmo porque, esses propsitos no so inflexveis e podem sofrer alterao, falar em um plano de uso que no possa ser revisto, em uma rea como informtica intrinsecamente incoerente.

ENTREVISTA
Abaixo coloco uma entrevista da Bate Byte (jornal tcnico que circula dentro da CELEPAR) com Armando Rech Filho, Gerente de Servios de Rede da CELEPAR (Companhia de Informtica do Paran governo do estado do Paran).
1

BB - Qual a sua viso sobre gerncia de redes corporativas, tema de sua

dissertao do mestrado? (Armando Rech Filho) Gerncia de redes corporativas s faz sentido se estiver orientada para o negcio da organizao, .... Alm dos elementos de rede, necessrio que se acrescente estrutura de gerenciamento tambm os servidores, os sistemas de bancos de dados, recursos de suporte e a prpria aplicao. Se um elo da

http://www.batebyte.pr.gov.br/modules/conteudo/conteudo.php?conteudo=1671

cadeia estiver fora, a viso quanto aos impactos do comportamento da arquitetura de TI sobre um determinado negcio vai ser sempre parcial... BB - E sobre segurana? (Armando Rech Filho) A CELEPAR tem investido no desenvolvimento de uma poltica de segurana mas a sua implementao na rede corporativa no tem sido realizada com a velocidade que as mudanas no contexto de tecnologia da informao tem requerido. Como na maioria das organizaes, temos uma proteo muito forte na porta de entrada da Internet, o grande vilo, mas estatsticas demonstram que a maior parte das violaes de segurana provm de dentro da prpria rede. Implementar polticas de segurana implica em colocar barreiras, restries liberdade que os indivduos tm no acesso rede, gera sentimento de perda. Em que pese as dificuldades, entendo que alavancar a implementao de polticas e mecanismos de segurana uma das principais questes sobre a qual temos que trabalhar, antes que seja tarde. (Os grifos no texto so meus.) Primeiro vamos conceituar o que significa Segurana: A ISO define [ISO89] a segurana como a tentativa de se minimizar as vulnerabilidades de valores e recursos dos sistemas. Entende-se por vulnerabilidade as falhas ou falta de segurana das quais pessoas mal intencionadas podem se valer para invadir, subtrair, acessar ilegalmente, adulterar e destruir informaes confidenciais. (DUARTE, 2003 p.14) Segurana no garantia e sim tentativa, essa uma ideia que no pode ser esquecida, que a segurana sempre uma luta para encontrar as vulnerabilidades e dificultar as aes de uma possvel invaso. Como uma casa que tem portas e que para aumentar a segurana reforamos com fechaduras qudruplas ou em janelas que colocamos grades, trazemos mais segurana, ou seja, onde havia muita vulnerabilidade, reduzimos a facilidade de uma invaso, mas de fato no conseguimos garantir que essa casa nunca ser invadida, assim como no conseguimos garantir o mesmo em um sistema. Quando digo sistema, estou me referindo a todos os elos que abrangem o acesso informtico: mquinas, rede, servidores, Bancos de Dados, aplicativos, etc. Dos aspectos fundamentais colocados acima, para se compreender segurana, temos na maioria dos autores um trip: Confidencialidade, Integridade e Disponibilidade.

Confidencialidade: Garantir que as informaes sejam acessveis apenas para

aqueles que esto autorizados a acess-las; Integridade: Salvaguardar a exatido e a inteireza das informaes e mtodos de processamento; Disponibilidade: Assegurar que os usurios autorizados tenham acesso s informaes e aos ativos associados quando necessrio. O conceito de disponibilidade importante, que muitas vezes no entendido como parte da segurana. Se existe necessidade de se acessar um site, ou um sistema e ele est fora do ar, inacessvel, houve uma quebra de segurana, a disponibilidade. Essa falha pode ocorrer por vrias razes, desde a queda do servio de um servidor, por falta de energia, por falha de hardware ou software ou por um ataque DOS (Denial of Service Ataque de negao de Servio - Padro de ataque que visa tornar um servio indisponvel). Como disse Armando Rech Filho na entrevista acima: Implementar polticas de segurana implica em colocar barreiras, restries liberdade que os indivduos tm no acesso rede, gera sentimento de perda. Isso parece uma incoerncia, visto que para manter a segurana, seja preciso quebr-la na sua disponibilidade e usabilidade. Outros itens importantes que completam o trip dos fundamentos da segurana, como: 3Legalidade, Autenticidade, Irretratabilidade (No Repdio) e Privacidade. Legalidade: 4Estado legal da informao, em conformidade com os preceitos da legislao em vigor. O funcionamento da rede institucional, seus acessos, devem seguir as leis do pas, pirataria crime, baixar filmes ou msicas ilegais, instalar programas ilegais, ou seja, a segurana tambm deve seguir as condies das leis do pas e os regulamentos da empresa. Autenticidade: Autenticidade a garantia de que a identidade da entidade com a qual se est comunicando corresponde quela desejada. Em outras palavras, a autenticidade reside no fato de as duas partes de uma comunicao terem a certeza de que esto trocando informaes com a entidade correta. (SOUSA JNIOR) Geralmente o uso de senhas utilizado para verificao da autenticidade do usurio.
2 3 4 ISO/IEC 17799:2000 pgina 1 - International Standartization Organization em dezembro de 2000. http://labs.goulart.info/wp-content/uploads/2011/04/principios-elementares-da-seguranca-dainformacao.pdf http://www.kplus.com.br/materia.asp?co=252&rv=Direito

Irretratabilidade: 5Garantia de que o emissor no pode, posteriormente, negar a autoria. (No Repdio) Dessa forma pode se saber quem foi o autor do envio de uma mensagem ou ato na rede. Privacidade: 6Segundo o glossrio de segurana da internet (SHIREY, 2000), privacidade o direito de uma entidade (geralmente uma pessoa) agir por si prprio, determinando o nvel de interao com seu ambiente, incluindo o nvel de compartilhamento das informaes pessoais com outros. Precisamos resguardar a segurana da rede entendendo o propsito da entidade, as necessidades do usurio para desempenhar seu trabalho e o que deve ser bloqueado para que a rede no fique exposta. Um exemplo interessante a repercusso da portaria interna DIR-942/2006, baixada pelo Professor Doutor Ivan Gilberto Sandoval Falleiros, Diretor da Escola Politcnica da Universidade de So Paulo.
7

1. Fica proibida a instalao de ambientes P2P de compartilhamento de arquivos ao

estilo emule, kazaa, amule, shareaza, gnutela, etc. em equipamentos da EPUSP ou em equipamentos a ela conectados. 2. proibida a manuteno na rede da EPUSP de arquivos para os quais o usurio no detenha a concernente licena (livros, msicas, vdeos, softwares, etc.) 3. Ao ser identificado um equipamento violando os pontos 1 e/ou 2 acima, o acesso rede do equipamento em questo ser bloqueado e o caso ser motivo de investigao interna. Rede Peer to Peer - Ponto a Ponto, so redes em que a mquina do usurio se torna um servidor, para que outros conectados possam baixar arquivos do seu disco, da mesma forma que essa mquina possa acessar arquivos de outras mquinas.
8

Problemas com segurana na rede, por causa de uso de programas P2P:

Desrespeito ao direito do autor, com grande nmero de troca de arquivos de filmes,

msicas e arquivos sem pagar os direitos autorais.

5 6

http://paginas.fe.up.pt/~jvv/Assuntos/Secur/full.html http://labs.goulart.info/wp-content/uploads/2011/04/principios-elementares-da-seguranca-dainformacao.pdf

7
8

http://www.pecepoli.org.br/PT/Servicos/Portaria_Poli_DIR-942_2006.pdf http://www.gta.ufrj.br/grad/06_1/p2p/seguranca.html

 No meio desses arquivos, temos vrus, spywares, worms, trojans e backdoors,

sendo enviados e retransmitidos para muitos usurios.

Acesso ao computador por um bug do software P2P.

Incluo mais dois pontos por minha conta:

Consumo da banda de utilizao de trfego da rede, imagine vrios usurios

fazendo uploads e downloads, o consumo poderia deixar outros servios lentos, ou inativos. Deixando outros usurios sem condies adequadas de utilizao da rede.
Destinao da rede e dos equipamentos. Poderamos considerar P2P como

utilizao adequada e dentro dos propsitos da empresa? ou como Armando Rech Filho diz em sua entrevista, acima: Gerncia de redes corporativas s faz sentido se estiver orientada para o negcio da organizao A portaria trouxe uma discusso interessante, apesar de haver razes claras para o bloqueio, como falei anteriormente, importante escutar os usurios envolvidos, para que o servio prestado seja adequado e todos os argumentos sejam compreendidos e pesados na discusso.
9

Eu ainda no me conformo com essa portaria por dois fatos:

- proibe o uso da tecnologia P2P e de programas que a utilizem, sendo que a tecnologia por si s no tem nenhum problema, podendo inclusive ser usada para a pesquisa dentro da escola (esquecem que temos um departamento de computao? Apesar deles nem se pronunciarem sobre o fato, o que um absurdo!) e - proibe o download de contedo protegido pela lei dos direitos autorais, o que j proibido por lei brasileira, ou seja, proibe o que j proibido... Se por acaso essa portaria liberasse o download desses contedos, por acaso poderamos faz-lo? Obviamente no, pois uma portaria da escola no sobrepe uma lei brasileira. H muitas outras reclamaes, umas interessantes e outras apenas murmrios de insatisfao e algumas palavras a favor da proibio. Proibio de programas P2P no privilgio da POLI, como podemos ver no termo de uso da Internet e Ativos de Informtica da PUC do Paran:
10

Utilizar os recursos disponibilizados para armazenar, distribuir ou executar

qualquer tipo de aplicativo ou arquivo no homologado e/ou autorizado pela Diretoria de Tecnologia (DT). Aplicativos podem incluir, mas no necessariamente se limitar a

http://stoa.usp.br/nathaliapatricio/weblog/36667.html http://www.pucpr.br/tutoriais/seguranca_rede/aluno/index.htm

10

softwares ilegais, ferramentas de compartilhamento de arquivos (Kazaa, E-mule, Morpheus etc.), aplicativos de mensagens instantneas (ICQ, IRC etc.) e jogos em geral. A Poltica de Segurana deve ser clara e adequada com o plano de negcios da empresa/instituio, mesmo que desagrade os usurios. Observando a Poltica de Segurana da Universidade de Princeton
11

All Employees and Contractors

You may only access information needed to perform your legitimate duties as a University employee and only when authorized by the appropriate Information Guardian or designee. (traduo minha: Para todos empregados e contratados. Voc pode apenas acessar informaes necessrias para executar sua legtima obrigao como um empregado da Universidade e apenas quando autorizado pelo apropriado Guardio da Informao ou representante.) 10. You must report any activities that you suspect may compromise sensitive information to your supervisor or to the University IT Security Officer. 11. Your obligation to protect sensitive information continues after you leave the University. (Voc deve relatar qualquer atividade que suspeite poder comprometer informaes sigilosas para seu supervisor ou para o Diretor de Segurana de TI da Universidade. Sua obrigao de proteger informaes sigilosas continua mesmo depois que deixar a Universidade.) Veja que a obrigao da segurana sai da exclusividade do departamento de informtica e penetra nas atribuies de todos os usurios e chefias. Isso permite que acessos diferenciados possam contemplar usurios, com autorizao de algum competente contanto que seja para uso nas atividades de seu trabalho e com responsabilidade pelos atos.

11

http://www.princeton.edu/itsecurity/policies/infosecpolicy/

CONCLUSO
Com responsabilidade, conscientizao, diretrizes de uso e com sanes aos usurios que desobedeam, podemos colocar o usurio como coparticipante da segurana da instituio, no s pelos seus atos, mas como agente fiscalizador, com responsabilidade de informar qualquer atividade suspeita. Tendo o usurio do lado da poltica da segurana, ajudaria e muito, a diminuir que os usurios fiquem lutando contra os Departamentos de TI, que encontrando portas, sites e servios bloqueados, alguns usurios ficam procurando brechas, falhas e tentando instalar programas no permitidos. O usurio deve ajudar na segurana e no ser um adversrio a ser contido, esse nvel de conscientizao deve ser alcanado. Pois lembrando a entrevista acima, temos: maior parte das violaes de segurana provm de dentro da prpria rede. Ou seja, o inimigo est dentro, o que adianta colocar cadeados nos portes, grades nas janelas, fechaduras nas portas, se o ladro est dentro da casa? Que tipo de poltica de segurana realmente est ocorrendo? Temos que converter esse tipo de comportamento inimigo em amigo, o que no fcil, mas essencial. Treinamentos, controle de logs, auditorias e sanes so importantes para ajudar nesse processo. Se um determinado software, porta ou site no momento bloqueado, for, de fato, til para o desenvolvimento de uma atividade que faz parte dos negcios da empresa, deve haver uma ponderao sobre os benefcios e riscos envolvidos para se fazer uma liberao desse acesso. Pois a poltica de segurana no existe para impedir os acessos e uso racional e sim para faz-los com sabedoria e com o devido cuidado.

REFERNCIAS

Bate Byte (jornal tcnico que circula dentro da CELEPAR, entrevista com Armando Rech Filho). Disponvel em: <http://www.batebyte.pr.gov.br/modules/conteudo/ conteudo.php?conteudo=1671>. DUARTE, Luiz Otvio. Anlise de Vulnerabilidades e Ataques Inerentes a Redes Sem Fio 802.11x (TCC). So Jos do Rio Preto: UNESP, 2003. 14 p. CHAGAS, Marco Aurlio B. de A. As polticas de segurana da informao, computao pessoal e computao corporativa da AR (Autoridade de Registro de Certificao Digital). Disponvel em: <http://www.kplus.com.br/materia.asp? co=252&rv=Direito>. Acesso em 16 out. 2011. SHIREY, Robert W. RFC 2828: Internet Security Glossary, 2000. Disponvel em: <http://www.ietf.org/rfc/rfc2828.txt>. Acesso em 16 out. 2011. SOUSA JNIOR, Rafael T. de; PUTTINI, Ricardo S. SSL Leavy / OpenSSL. Disponvel em: <http://www.redes.unb.br/security/ssleay/tutorial.html>. Acesso em 16 out. 2011. International Standartization Organization. ISO/IEC 17799:2000: 2000. 1 p. GOULART, Anderson: Princpios elementares da segurana da informao: uma anlise qualitativa sobre servios web, Salvador: Universidade Federal Fluminense, 2009. 3 p. Disponvel em: <http://labs.goulart.info/wp-content/uploads/2011/04/principioselementares-da-seguranca-da-informacao.pdf>. Acesso em 16 out. 2011. Chagas, Marco Aurlio B. de. : As polticas de segurana da informao, computao pessoal e computao corporativa da AR (Autoridade de Registro de Certificao Digital). Disponvel em: <http://www.kplus.com.br/materia.asp? co=252&rv=Direito>. Acesso em 16 out. 2011. Verde, Isidro Vila: Segurana versus acessibilidade. Faculdade de Engenharia da Universidade do Porto. Disponvel em: <http://paginas.fe.up.pt/~jvv/Assuntos/Secur/ full.html>. Acesso em 16 out. 2011. Segurana em Redes P2P Universidade Federal do Rio de Janeiro. Disponvel em: <http://www.gta.ufrj.br/grad/06_1/p2p/seguranca.html>. Acesso em 16 out. 2011. Escola Politcnica da Universidade de So Paulo, portaria interna DIR-943/2006, Disponvel em: <http://www.pecepoli.org.br/PT/Servicos/Portaria_Poli_DIR942_2006.pdf>. Acesso em 16 out. 2011.

Reclamaes sobre P2P, aluna da Poli. Disponvel <http://stoa.usp.br/nathaliapatricio/weblog/36667.html>. Acesso em 16 out. 2011.

em:

Tutorial sobre Segurana, PUC Paran. Disponvel em: <http://www.pucpr.br/tutoriais/seguranca_rede/aluno/index.htm>. Acesso em 16 out. 2011. Poltica de Segurana, Universidade de Princeton. Disponvel em: <http://www.princeton.edu/itsecurity/policies/infosecpolicy/>. Acesso em 16 out. 2011.