FUNDAO EDUCACIONAL DE MACA FUNEMAC FACULDADE PROFESSOR MIGUEL NGELO DA SILVA SANTOS

AUDITORIA E SEGURANA DA INFORMAO

Grupo: HICH TECH

Christian Brando Figueiredo (2 perodo SI) Pedro Ivo Valdez Ribeiro (2 perodo ADM) Raphael Brasil Fagundes (2 perodo SI)

MACA, RJ MAIO DE 2011 AUDITORIA E SEGURANA DA INFORMAO

Grupo: HICH TECH

Christian Brando Figueiredo (2 perodo SI) Pedro Ivo Valdez Ribeiro (2 perodo ADM) Raphael Brasil Fagundes (2 perodo SI)

PROJETO SEMESTRAL SUBMETIDO AO CORPO DOCENTE DA FACULDADE PROFESSOR MIGUEL NGELO DA SILVA SANTOS (FeMASS) COMO PARTE DA SISTEMTICA DE AVALIAO POR PROJETOS (SAP).

Banca Examinadora: _______________________________________________ Prof. A, D.Sc. Brulio Ferreira de Carvalho

_______________________________________________ Prof. B, D. Sc.

MACA, RJ MAIO DE 2011

RESUMO

Este trabalho teve por finalidade a anlise dos pressupostos necessrios para a auditoria e a segurana de sistemas de informao, por meio de tcnicas, ferramentas, e procedimentos pr-definidos em polticas de segurana. Para tanto, buscou-se artigos, trabalhos e livros tanto na rea de sistemas de informao com na segurana de sistemas e auditoria de sistemas. O resultado obtido foi uma formulao da tipificao das diferentes abordagens necessrias para garantir a uma organizao a segurana de seus dados, alm de mtodos e modelos de auditar um sistema.

PALAVRAS-CHAVE: auditoria de sistemas, segurana da informao, ferramentas da segurana.

LISTA DE FIGURAS

Figura 1: Segurana da Informao..........................................................................................11 Figura 2: Proteo em Profundidade........................................................................................12 Figura 3: Firewall......................................................................................................................13 Figura 4: Antivrus....................................................................................................................13 Figura 5: Backup.......................................................................................................................14 Figura 6: Criptografia................................................................................................................15 Figura 7: IDS Sistema de Deteco de Intrusos....................................................................15 Figura 8: VPN...........................................................................................................................16 Figura 9: Arquitetura de Segurana da Informao..................................................................22

LISTA DE TABELAS

SUMRIO

1. 1.1.

INTRODUO 9 OBJETIVOS 10

1.1.1. Objetivo Geral 10 1.1.2. Objetivo Especifico 1.2. 2. 2.1. JUSTIFICATIVA 10 DESENVOLVIMENTO Teoria da Segurana 11 11 10

2.1.1. Principios Basicos da Segurana da Informao 11 2.1.1.1. Concentrao 11 2.1.1.2. Proteo em Profundidade 2.1.1.3. Consistncia 2.1.1.4. Redundncia 2.1.2. Ferramentas da Segurana 2.1.2.1. Firewall13 2.1.2.2. Antivrus 2.1.2.3. Backup 14 2.1.2.4. Criptografia 2.1.2.5. IDS 2.1.2.6. VPN 2.1.3. Atores da Segurana 15 16 16 16 15 13 12 12 13 12

2.1.3.1. Administrador da Empresa 2.1.3.2. Suporte Tcnico 17

2.1.3.3. Usurio 17 2.1.3.4. Parceiros 17 18

2.1.3.5. Funcionrios Temporrios 2.2. Gerenciamento de Riscos 19

2.2.1. Identificao dos Riscos19 2.2.1.1. Ameaas 19 20

2.2.1.2. Vulnerabilidades 2.2.1.3. Riscos Internos 20 2.2.1.4. Riscos Externos 21

2.2.2.1. Confidencialidade, Disponibilidade e Integridade 2.2.3. Controle de Acesso 23

22

2.2.3.1. Identificao de Usurios 2.2.3.2. Autenticao 2.2.3.3. Identificao 23 23

23

2.2.3.4. Controle de Acesso Lgico 2.2.3.5. Controle de Acesso Fsico

24 24

2.2.3.6. Outros Meios de Autenticao 25 2.2.4. Engenharia Social 25

2.2.4.1. Tcnicas Usadas na Engenharia Social 26 2.2.4.2. Preveno 27

2.2.4.3. Auditabilidade 27 2.3. reas da Segurana da Informao 28 28 28

2.3.1. Segurana da Informao

2.3.1.1. Polticas, Normas e Procedimentos 2.3.1.2. Segurana Fsica 2.3.1.3. Segurana Pessoal 29 29

2.3.1.4. Segurana Lgica

30

2.4.

Auditoria de Segurana da Informao 32

2.4.1. Fundamentos 32 2.4.2. Objetivos 32 32

2.4.3. Tipos de Auditoria 2.4.4. Metodologias 33

2.4.4.1. Planejamento e Controle 2.4.4.2. Levantamento 33 2.4.4.3. Pontos de Controle 2.4.4.4. Inventario 34 33

33

2.4.4.5. Avaliao de Pontos de Controle 2.4.4.6. Concluso 2.4.5. Ferramentas 34 34 35 34

34

2.4.5.1. Ferramentas Generalistas 2.4.5.2. Ferramentas Especializadas 2.4.6. Programas utilitrios 3. Consideraes Finais 3.1. 35 36

Concluses......................................................................................................................... 36 3.2. Proposta de Projetos Futuros 37

REFERNCIAS BIBLIOGRFICAS 38 ANEXO I TTULO DO ANEXO 40 APNDICE A - FICHA DE AVALIAO DE PROJETOS SEMESTRAIS 41

* *

* * * * * * INTRODUO * A expresso segurana da informao atualmente faz parte de nosso cotidiano. Isso porque a sociedade esta cada vez mais dependente dos computadores e seus benefcios oferecidos pela alta tecnologia. Com a revoluo da tecnologia, a informao tornou-se ativo mais valioso para as pessoas e as organizaes, e a segurana dessa informao se tornou um fator primordial. Segurana da informao um termo que descreve tcnicas, recursos, componentes e hbitos que permitam que usurios considerem um sistema automatizado (um site, um programa de controle de estoque, um e-mail) confivel preservando o valor que elas possuem para um individuo ou para uma organizao. Tambm um processo contnuo e abrangente em constante evoluo, mutao e transformao. A crescente dependncia dos computadores nas empresas e pelas pessoas vem fazendo com que especialistas em segurana da informao venham se preocupar com o crescente fluxo de informao, e ao mesmo tempo vem crescendo as ameaas virtuais como o cybercrime, roubo de informaes, crackers. Um problema comum em segurana identificar quem ou o que causou algo no sistema. Essa identificao possvel atravs de uma Auditoria no Sistema. H uma Ferramenta na auditoria de sistemas que permite a analise atravs das gravaes e manuteno de uma trilha de aes realizadas no sistema, chamada de Trilha de Auditoria.

* * OBJETIVOS * Objetivo Geral

Este trabalho tem por finalidade a anlise dos pressupostos indispensveis para a segurana de sistemas de informao e posterior auditoria destes sistemas. * Objetivos Especficos * Seus objetivos especficos so: contextualizar os princpios da segurana da informao; identificar as vulnerabilidade e ameaas. Apresentar polticas e padres de apoio a segurana da informao e apresentar mtodos e modelos de auditoria de sistemas de informao.

JUSTIFICATIVA * Observando a tendncia mundial de avano tecnolgico e a diminuio do custo aquisitivo de tecnologias e acesso a internet, passa a ser realidade que h mais usurios conectados a rede mundial (internet), e por esse motivo maior a exposio das organizaes, tornando necessrio que se invista em tecnologias e mtodos que garantam segurana a seus ativos da informao. Portanto, pretende-se estabelecer os conceitos bsicos para gesto de segurana e auditoria de sistemas de informao.

* * * * * * * * * DESENVOLVIMENTO * Teoria da Segurana *

* * Figura 1. Segurana da Informao * FONTE: Adaptado de SILVA (2003) * Princpios Bsicos da Segurana da Informao * Concentrao * Na teoria da segurana um dos princpios bsicos da segurana da informao o princpio da concentrao que se baseia em concentrar e proteger os bens em funo da sensibilidade de cada bem.

Proteo em Profundidade * Quando preciso proteger algum bem pela proteo de profundidade, preciso que os bens de mais valor agregado ou mais sensveis se concentrem mais no interior (no centro) e os menos valiosos, ou menos sensveis, nas periferias ou ento em paredes mais resistentes. Deste modo, a proteo concebida sob a forma de anis concntricos, que constituem barreiras sucessivas, gradualmente mais difceis de transpor, medida que o grau de sensibilidade da informao aumenta. As reas contendo informaes sensveis no devero conseqentemente, estar fisicamente expostas pela presena de portas e janelas com abertura direta para a rua.

Figura 2. Proteo em profundidade

Consistncia * O princpio da consistncia diz que a proteo de cada bem deve estar equivalente ao valor de cada bem, preciso arrumar de maneira homognea de acordo com cada bem protegido. No adianta, por exemplo, proteger a entrada da frente com cmera, porteiro, alarmes, trancas e deixar a porta de trs com apenas uma fechadura destrancada.

Redundncia * A redundncia diz a necessidade de empregar mais de uma forma de proteo para o mesmo fim, de modo a impedir que a proteo de um bem seja comprometida por uma nica falha (ponto nico de falha). Um exemplo de redundncia a presena de um porteiro junto a uma porta com fechadura.

Ferramentas da Segurana * Firewall * * * Figura 3. Firewall * Fonte: PINHEIRO (2010) * * Em portugus significa muro contra fogo, firewall o nome dado a uma proteo para o computador que tem a funo de regular o trafego de dados entre redes distintas e impedir a transmisso ou recepo de acessos nocivos ou no autorizado de um computador para o outro. * Antivrus * * * Figura 4. Antivrus * FONTE: Adaptado FREITAS (2009) O antivrus so programas feitos para prevenir, detectar e eliminar vrus de computador. Tem uma grande variedade de produtos com esse intuito no mercado, a diferena entre eles est nos mtodos de deteco, no preo e nas funcionalidades.

Backup *

* * Figura 5. Backup * FONTE: SANTOS (2011) Backup significa em portugus: uma cpia de segurana a cpia de algum dado de um dispositivo de armazenamento (computador) a outro para que possam ser restaurados se houver alguma perda dos dados originais, que pode ser a causa desse apagamento um acidente ou corrupo de dados.

Criptografia * * * Figura 6. Criptografia * FONTE: LAILA (2010) * * Criptografia o estudo de tcnicas para a informao ser transformada da sua forma normal para outra ilegvel, de forma que possa ser conhecida apenas por seu destinatrio, o que a torna difcil de ser lida por algum no autorizado. Com isso, s o receptor da mensagem pode ler a informao com facilidade. * IDS * * * Figura 7. IDS Sistema de Deteco de Intrusos * FONTE: KELLY (2006) * * Sistema de deteco de intrusos ou simplesmente IDS refere-se a meios tcnicos de descobrir em uma rede quando esta est tendo acessos no autorizados que podem indicar a ao de um cracker ou at mesmo funcionrios mal intencionados. * VPN *

* * Figura 8. VPN * FONTE: SONIC NET(2009) * Rede Privada Virtual uma rede de comunicaes privada normalmente utilizada por uma empresa ou um conjunto de empresas e instituies, construda em cima de uma rede de comunicaes pblica. O trfego de dados levado pela rede pblica utilizando protocolos padro, no necessariamente seguro. Um exemplo de ferramenta que utiliza o sistema de VPN um programa chamado HAMACHI. Atores da Segurana * Administrador da Empresa * Dentro de uma administrao, os agentes por ela nomeados, so os co-responsveis pela informao usada pela empresa na sua relao com os clientes e na produo e comercializao de seus bens e servios. Suas decises repercutem diretamente na segurana destas informaes. So tambm responsveis perante o Governo e outras instituies pelo cumprimento de leis e demais disposies. Sua operao est de certa forma vinculada ao que se deve disponibilizar ou no de informaes pertinentes aos acionistas e aos clientes, no sendo de certa forma, compatibilizado com a segurana, ficando a cargo do responsvel pela segurana da informao demonstrar alternativas e suas implicaes

Suporte Tcnico * * A necessidade de gesto diria dos equipamentos, dos softwares e dos usurios, faz com que necessite de colaboradores especialistas neste tipo de atendimento. Sendo necessrio a este grupo especial, profissionais desde o mais simples tcnicos aos administradores de rede, banco de dados e sistemas. Sendo de extrema importncia na gesto dos ativos, delimitar o grau de acesso a cada tipo de colaborador envolvido com os sistemas de informao. * Usurio *

Os usurios ou utilizadores so pessoas ou organizaes que se utilizam de algum tipo de servio, podem ser classificados de acordo a rea de interesse. So agentes externos ao sistema que usufruem da tecnologia para realizar determinado trabalho. Podem ser desde os usurios comuns do sistema at administradores, programadores ou analistas de sistemas.

Parceiros * So as entidades externas que participam nas mltiplas formas no processo de negcio da empresa, tanto nos nveis de produo como de distribuio. De forma geral os parceiros no se preocupam com a segurana da empresa. Desta forma de importante relevncia identificar a sua postura frente s polticas de segurana da empresa, podendo esta postura constituir um pr-requisito para formalizar a parceria.

Funcionrios Temporrios * So correspondentes aos usurios dos sistemas, porm como a sua ligao com a empresa temporria, faz-se necessrio que no se estenda muito seus privilgios de acesso aos sistemas de informao e que se aplique diretivas que resguardam seu acesso ao perodo de seu vnculo com a empresa.

Gerenciamento de Riscos * O gerenciamento de risco o processo de identificao, controle e minimizao ou eliminao dos riscos de segurana que podem afetar os sistemas de informao a um custo aceitvel (ISO/IEC 17799:2000). O termo risco uma combinao de componentes, tais como ameaas, vulnerabilidades, de forma a proporcionar a adoo de medidas apropriadas tanto s necessidades de negcio da organizao ao proteger seus recursos de informao, como aos usurios que precisam utilizar esses recursos. A anlise de risco o ponto chave da poltica de segurana englobando tanto a anlise de ameaas e vulnerabilidades.

Identificao dos Riscos *

Ameaas * As ameaas so o resultado das vulnerabilidades existentes, o que prova a perda dos elementos bsicos para existir segurana da informao que so eles a confidencialidade, integridade e disponibilidade (PEIXOTO, 2006). Essas ameaas podem ser divididas em: * Naturais: Fenmenos da natureza. Como por exemplo, raios que danificam equipamentos, chuvas, umidade, terremotos e etc. * Involuntrias: Aquelas que ocorrem por causa do desconhecimento, erros ou acidentes e entre outros. * Voluntrias: Ss aquelas propositais, resultantes de aes como, por exemplo, aes de crackers, espies, disseminadores de vrus de computador. Vulnerabilidades * Os principais tipos de vulnerabilidades existentes podem ser do tipo (PEIXOTO, 2006): * Fsicas: Salas de CPD mal planejadas, estrutura de segurana fora dos padres exigidos; * Naturais: computadores so propensos a sofrerem danos naturais, como tempestades, incndio, alm, por exemplo, de falta de energia, acmulo de poeira, aumento da umidade e temperatura. * Hardware: Desgaste do equipamento, obsolescncia ou m utilizao; * Software: M instalao, erros de configurao, vazamento de informaes e, dependendo do caso, perda de dados ou indisponibilidade de recursos; * Mdias: Disquetes e CDs podem ser perdidos ou danificados, e a radiao eletromagntica pode causar danos s vezes irreparveis nas mdias; * Comunicao: Acessos no autorizados ou perda de comunicao; * Humanas: Tratadas anteriormente, como, por exemplo, as tcnicas de engenharia social, as vulnerabilidades referindo-se ao fator humano, como falta de treinamentos, conscientizao, o no seguimento das polticas de segurana. * Riscos Internos * Normalmente so decorrentes de desastres naturais e pessoas.

Um desastre natural como, por exemplo, enchentes, raios, terremotos impossvel de se prever e evitar. J o risco pessoal pode ser causado por descuido da pessoa ou intencionalmente por motivos de vingana ou insatisfao. Esta pessoa mal intencionada pode danificar as informaes de diversas formas. * Modificando ou apagando dados; * Destruindo dados ou programas; * Derrubando sistemas; * Degradando o patrimnio da empresa com destruindo equipamentos ou instalaes; * Insero de dados incorretos. Riscos Externos * Segundo Peixoto (2006), decorrente de agentes externos aos sistemas que se utilizam de ferramentas (softwares maliciosos) para invadir e buscar informaes que possam ser valiosas. Ou de certa forma, deixar o sistema inoperante, suas ferramentas so: * Worms: semelhante a um vrus, a diferena que ele no necessita de um programa hospedeiro para se infectar ou reproduzir; * Vrus: programas ou cdigos que infectam outros programas, se multiplicando e pode causar danos ao computador infectado; * Trojans: aplicao ou cdigo que executa tarefas que comprometem o sistema sem que o usurio note. apresentado como uma aplicao rotineira; * Engenharia Social: arte de enganar. Veremos sobre o assunto no decorrer do projeto; * Ataques: so ataques capazes de tirar recursos ou um site do ar. Pode ser do tipo DoS ou DDoS( Negao de Servio). O Primeiro sendo caracterizado pela sobrecarga de capacidade ou em uma falha no esperada, indisponibilizando seus servios, nesse caso a informao no sofre dano. J o segundo semelhante ao DoS,sendo disparado por milhares de pontos como origem.Podendo ser chamado de um ataque DoS em grande escala. * * * * *

* * * * * * Arquitetura de Segurana da Informao * * * Figura 9. Arquitetura de Segurana da Informao * FONTE: TECHNET (2007) * * A segurana da informao a proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao no autorizada de dados e ou informaes. a base para dar as empresas a possibilidade e a liberdade necessria para criao de novos negcios. E os negcios esto cada vez mais dependentes de tecnologias e estas precisam estar de tal forma a proporcionar confidencialidade, integridade e disponibilidade (NBR 17999, 2003; Krause e Tipton,1999; Albuquerque e Ribeiro, 2002). So os princpios bsicos para se garantir a segurana da informao. * Confidencialidade, Disponibilidade e Integridade * Segurana da informao formada pelos seguintes pilares bsicos, que podem ser definidos da seguinte maneira (PEIXOTO, 2006): * Confidencialidade: a informao s pode ser acessada por pessoas explicitamente autorizadas, de forma a impedir que pessoas no autorizadas tenham acesso s informaes da organizao. Este item garante a identificao e autenticao das partes envolvidas. * Disponibilidade: a informao do sistema deve e tem de estar disponvel a qualquer momento que ela seja necessria para a ordem dos negcios da organizao. * Integridade: condio de que a informao mantenha seu contedo de forma original no momento em que ela foi armazenada; sendo protegida contra eventuais modificaes intencionais ou acidentais no-autorizadas.

Controle de Acesso * * Os controles de acesso podem ser do tipo fsico ou lgico. Seu objetivo proteger equipamentos, aplicativos e arquivos de dados contra perda, divulgao no autorizada ou modificao. Os sistemas informatizados, so bem diferentes de outros tipos de recursos, no podem ser facilmente controlados somente com dispositivos fsicos, como cadeados, alarmes ou guardas de segurana. * Identificao de Usurios * Nos sistemas operacionais os usurios so identificados e autenticados durante o processo de logon. Esse processo geralmente concede so usados para conceder privilgios, acesso a dados ou informaes, e a aplicativos necessrios do sistema operacional para que o usurio execute suas funes rotineiras. Esse processo consiste na entrada de um ID (identificao do usurio) e uma senha (autenticao do usurio).

Autenticao * A autenticao a confirmao de quem o usurio diz quem ser. Na autenticao o usurio deve apresentar algo que s ele saiba, como por exemplo, uma senha composta por letras, nmeros e caracteres especiais (smbolos). Tambm podendo ser de autenticado atravs de outros meios.

Identificao * * Corresponde dizer que a partir da autenticao do usurio e sua identificao dentro do sistema de informao, este usurio ter autorizao para utilizar dentro do sistema, somente aquilo que lhe pertinente. Cabe ao responsvel pela segurana da informao delimitar por grupos ou usurios as autorizaes necessrias ao devido controle do sistema, a fim de que, em caso de falha na segurana, seja possvel identificar os possveis responsveis, de acordo com os nveis de autorizao. *

Controle de Acesso Lgico * So procedimentos e medidas com o objetivo de proteger dados, programas e sistemas contra tentativas de acesso por pessoas ou programas que no so autorizadas. Resume-se na identificao e autenticao dos usurios, limitao de acessos e na preveno de acessos no autorizados.

Controle de Acesso Fsico * So procedimentos e medidas com o objetivo de proteger os recursos fsicos (computadores e etc.) contra usurios no autorizados, prevenindo o acesso a esses recursos, danos e interferncia. O controle de acesso fsico se baseia em permetros predefinidos ao redor dos recursos computacionais, podendo ser uma sala cofre ou reas de acesso restrito. Recomenda-se que algumas medidas para controle de acesso fsico sejam tomadas pelo responsvel pela segurana, tais como: * Instalar servios de vigilncia. * Controle de entrada e sada de equipamentos e pessoas registrando hora e data e responsvel. * Restringir o acesso e fazer acompanhamento ao local de destino no caso visitantes. * Supervisionar servios como limpeza, manuteno, vigilncia. * Desligar ou bloquear computadores nos momentos que precise se ausentar (almoo, sadas inesperadas). * Instalar cmeras, fechaduras eletrnicas, alarmes, sistemas de leitura biomtricos (impresso digital, leitor de Iris, leitor de retina, reconhecimento facial, reconhecimento de voz * * * * * Outros Meios de Autenticao *

* Tokens USB: dispositivo eletrnico que ao ser conectado ao computador autentica o usurio. * Tokens OPT: One Time Password, dispositivo que gera senhas baseadas no tempo, por exemplo, uma senha nova gerada a cada 60 segundos. * Cartes magnticos inteligentes: cartes que possuem um chip microprocessador que fornecem funcionalidades de segurana. * Senhas descartveis: uma espcie de carto onde contem diversas senhas, o computador solicita a senha corresponder a uma posio e o usurio deve informa - l. muito utilizado em bancos. * Perguntas randmicas: so perguntas aleatrias na qual o usurio ser submetido para validar sua autentificao, como por exemplo, perguntas do tipo quanto 4+4?, qual a capital do Brasil. Tambm podendo ser imagens na qual o usurio deve inserir os respectivos caracteres apresentados

Engenharia Social

A Engenharia social na rea de segurana de sistemas informatizados um termo utilizado para identificar tipos de intruso no tcnica, que coloca nfase na interao humana e, freqentemente, envolve a habilidade de enganar pessoas. importante ressaltar que o elemento mais vulnervel de qualquer sistema o ser humano, independente de hardware ou software. O ser humano possui traos psicolgicos e comportamentais que o torna suscetvel a ataques de engenharia social. Dentre eles: * Vontade de ser til; * Busca por novas amizades; * Propagao da responsabilidade. Novamente importante salientar que o sucesso da engenharia social depende da habilidade de persuadir outros a disponibilizarem informaes ou fazer com que ele realize aes a favor do engenheiro social, alm de compreender o comportamento do ser humano. Assim pode se observar que a engenharia social possui uma seqncia de passos na qual um ataque pode ocorrer: * Coleta de informaes: o engenheiro social busca as mais diversas informaes do usurio como hbitos, e-mail, perfil em redes sociais sendo estas indispensveis para o desenvolvimento de um relacionamento. * Desenvolvimento de um relacionamento: o engenheiro social buscar desenvolver um relacionamento explorando a natureza humana at que ganhe a confiana da pessoa.

* Explorao do relacionamento: o engenheiro social procurar obter informaes pessoas como senhas, CPF, carto de crdito a serem usadas. * Execuo do ataque: o engenheiro social realiza o ataque utilizando de todas as informaes e recursos obtidos pessoa ou empresa. * Tcnicas Usadas na Engenharia Social * Por ser muito ampla a engenharia social pode ser executada de diversas formas, sempre explorando a falha humana. Abaixo so destacadas algumas: * Telefone convencional: o engenheiro social usa suas tcnicas e habilidades passando-se por algum para enganar e ganhar a confiana da vtima. * Internet: coletar informaes dos usurios como, por exemplo, login e senha ao serem digitados. * Intranet: tem como objetivo acessar remotamente algum computador da rede com o objetivo de se passar por algum. * E-mail: envio de e-mails falsos para induzir a vtima a clicar em links que instalaro vrus, Cavalos de Tria ou redirecionaro para pginas falsas que capturam dados digitados. * Pessoalmente: tentar persuadir a vtima. * Chats: tentar se passar por outra pessoa nas salas de bate-papo com o objetivo de ganhar a confiana da pessoa. * Spyware: e um software espio que monitora o microcomputador sem que a vtima perceba. * Redes P2P (Peer-to-Peer): tecnologia que permite o compartilhamento de arquivos entre diversos computadores. O engenheiro social usa essa tecnologia para espalhar vrus, Cavalos de Tria e muitas outras pragas. * Redes Sociais: os sites de relacionamento so cada vez mais utilizados pelos usurios. Ao utilizar estes sites o usurio deixa um rastro das informaes de maneira que pessoas mal intencionadas podem se passar por outras pessoas, camuflando assim sua real identidade.

Preveno

A preveno uma altamente difcil. A engenharia social tende a crescer e se tornar uma das principais ameaas aos sistemas de segurana.

As empresas vm gastando milhares de reais na aquisio de ferramentas de segurana (deteco de intruso, firewalls, etc.) a fim de tornarem seus sistemas mais seguros. Tambm preciso considerar o ser humano como componente do sistema de segurana, por ser o elo frgil preciso tomar precaues com o mesmo a fim de minimizar a vulnerabilidade do sistema. Para amenizar estes riscos, recomendvel que as empresas criem medidas de segurana. Estas medidas so: * Educao e Treinamento Importante conscientizar as pessoas, funcionrios sobre o valor da informao que elas dispem e manipulam, alm de informar quem o engenheiro social e como age. * Segurana Fsica Permitir o acesso de pessoas devidamente autorizadas s dependncias de uma empresa. * Poltica de segurana - criar polticas de segurana centralizada e bem divulgada, para que todos os seus colaboradores saibam como proteger as informaes que esto em seu poder. Estimular o uso de senhas de difcil descoberta, remover contas de usurios que no fazem mais parte do quadro de funcionrios da empresa, uso de intranets. * Controle de Acesso tem como objetivo conceder privilgios mnimos a usurios. O controle de acesso pode tambm evitar que usurios sem permisso possam criar/remover/alterar contas e instalar software danosos empresa ou organizao.

Auditabilidade * O acesso e o uso da informao devem ser registrados, possibilitando a identificao de quem fez o acesso e o que foi feito, tornando-se desta forma um sistema de informao auditvel.

reas da Segurana da Informao * Segurana da Informao * Um plano de segurana a primeira iniciativa que o responsvel pela gesto de segurana da informao. Deve se desenvolver de forma organizada, obedecendo s normas e procedimentos, dentro de uma poltica organizacional. Esta iniciativa constar de um documento dinmico e flexvel, pois ajustes sempre sero necessrios medida que se evoluem as tticas de intruso.

Polticas, Normas e Procedimentos

* O Plano Diretor de Segurana (PDS) deve obedecer, antes de qualquer coisa, normas e padres j estabelecidos, a fim de proporcionar um mapa, em que qualquer profissional de segurana a partir deste documento entenda a poltica de segurana da organizao; so elas: * NBR ISO/IEC 17.799:2005 um cdigo de prtica de gesto de segurana da informao; seus objetivos esto em prol de estabelecer um referencial para as organizaes desenvolverem, implementarem e avaliarem a gesto da segurana de informao, alm de promover a confiana nas transaes comerciais entre as organizaes; * O Cobit (Control Objectives for Information and Related Technology) pode ser traduzido como Objetivos de Controle para a Informao e Tecnologia Relacionada. o consenso entre especialistas de todo o mundo nas melhores prticas, metodologias e padres. * O ITIL (Information Technology Infrastructure Library) pode ser traduzido com Biblioteca de Infraestrutura para Tecnologia da Informao. o modelo de referncia para gerenciamento de processos de TI (Tecnologia da Informao) com clientes internos e externos.

Segurana Fsica * A ISO 17.799 chama de barreiras de segurana fsica, quaisquer medidas preventivas que impeam o ataque aos ativos da informao, como: muros, cercas, trancas, etc. Estas barreiras delineiam o permetro de segurana, sendo ele um contorno fsico ou linha imaginria. Existem vrios permetros a serem protegidos (prdios, geradores, cofres, etc.), mas no que diz respeito segurana da informao cabe: os equipamentos devem ser instalados e protegidos para reduzir o risco de ameaas ambientais, perigos e oportunidades de acesso no autorizado. Alm de um projeto de reas de segurana que contemple escritrios fechados ou com vrias salas dentro de um permetro seguro. Deve se observar a proteo contra falha de energia e os defeitos inerentes aos prprios produtos de hardware. Desta forma, medidas devem ser tomadas de forma preventiva, para garantir o perfeito funcionamento dos equipamentos.

Segurana Pessoal * Pessoas so os elementos centrais de um sistema de Segurana da Informao, pois os incidentes sempre envolvem pessoas. Desta forma h a necessidade de observar com maior ateno, todas as questes relevantes ao pessoal, quanto aos acessos internos e externos, ao recrutamento de novos integrantes e ao pessoal terceirizado.

Recrutamento * Considerar em primeira mo, que um passo primordial para preveno contra intrusos no momento da seleo de pessoal, impor diretivas que determinem neste momento possvel tentativas de invaso interna, por um profissional mal intencionado. de total relevncia tomar as medidas adequadas, quanto a Segurana da Informao no momento da contratao.

Segurana Lgica * Neste momento a preocupao se volta para a segurana das redes, como problemas de autenticao de usurios e equipamentos e de restrio de acesso aos servios autorizados. Faz - se necessrio de acordo com a ISO 17.799 o uso de diversos mecanismos de proteo de redes, entre os quais se destacam os gateways e firewalls, alm dos controles com o uso de criptografia, tokens, VPNs, antivrus, etc.

Permetro Lgico * So as chamadas zonas desmilitarizadas (DMZ, do termo de-militarized zone) que permitem proteger um computador ou segmento de rede. A DMZ atua como intermediria tanto para o trfego de entrada quanto para o de sada.

Assinatura Digital * A utilizao de assinatura digital confirma de forma inegvel que uma mensagem veio do emissor. Ela deve conter as seguintes propriedades: * Autenticidade o receptor deve poder confirmar que a assinatura foi feita pelo emissor; * Integridade qualquer alterao da mensagem faz com que a assinatura no corresponda; * No-repdio o emissor no pode negar a autenticidade da mensagem. Existem vrios mtodos para assinar digitalmente documentos, porm de maneira simplista, uma assinatura corresponde gerao de um resumo criptogrfico, denominado hash.

Certificado Digital * * Um Certificado Digital um documento obtido na Autoridade Certificadora (AC), que associar ao solicitante uma chave pblica que determinar sua identidade no meio digital. * * * * * * * * * * * * * * * * * * * * * * *

* * * * * * * * * Auditoria de Segurana da Informao * Fundamentos * * A funo de auditoria de sistemas promover adequao, reviso, avaliao e recomendaes para o aprimoramento dos controles internos dos sistemas de informao da empresa, bem como avaliar a utilizao dos recursos humanos, materiais e tecnolgicos envolvidos no processamento dos mesmos (SCHMIDT, 2006). * Objetivos * Atuar em todos os sistemas da organizao seja no nvel operacional, ttico ou estratgico. Segundo o COBIT, os objetivos da auditoria de sistemas de informao devem estar pautados em: efetividade, eficincia, confidencialidade, integridade, disponibilidade e confiana.

Tipos de Auditoria * De acordo com o contexto diversas modalidades de auditorias podem ser abordadas, conforme abaixo: * Auditoria durante o processo de sistemas auditar todo o processo de construo de sistemas de informao;

* Auditoria de sistemas em produo preocupao com os sistemas j implantados; * Auditoria no ambiente tecnolgico preocupao com o ambiente nos termos da estrutura organizacional, contratos, normas, tcnicas, custos, nvel de utilizao e planos de segurana e contingncia; * Auditoria em eventos especficos est voltada para aes corretivas cabveis em eventos no cobertos pelas anteriores.

Metodologias * Planejamento e Controle * Tendo em vista os planos da administrao, neste ponto estabelece-se o planejamento inicial das aes e dos recursos necessrios para a execuo da auditoria. Recomenda-se formar uma equipe com dois grupos, sendo um de coordenao e outro de execuo. O primeiro define o escopo do trabalho e faz o acompanhamento de todos os procedimentos previamente determinados, enquanto o segundo obedece ao plano.

Levantamento * * Compreende o levantamento de informaes relevantes sobre o sistema, feito de maneira abrangente, dando uma viso macro das caractersticas do sistema. As tcnicas utilizadas podem ser: entrevistas e anlise de documentao existente, ferramentas com diagramas e dicionrios de dados, que tambm so de utilizao nesta fase do processo. O importante identificar a execuo de acordo com o planejamento, sem fugir do objetivo. * Pontos de Controle * Nesta etapa identificam-se os diversos pontos de controle para eventual validao do grupo de coordenao, a fim de garantir se o foco da auditoria est sendo atingindo, e seguir adiante no processo de auditoria.

Inventrio

* Alcanados os pontos de controle, com base nos documentos analisados, cria-se um inventrio de pontos de controle, identificando seus parmetros, suas fraquezas e tcnicas de auditoria mais adequadas sua validao, pela equipe de coordenao.

Avaliao de Pontos de Controle * Consiste em realizar os testes necessrios para validao dos pontos de controle, de acordo com especificaes e parmetros previamente determinados anteriormente pela equipe de coordenadores. a auditoria propriamente dita.

Concluso * Ao fim dos testes de validao, devem ser elaborados relatrios de auditoria contendo os resultados encontrados, qualquer que seja ele, evidenciando possveis fraquezas, transformando aquele ponto de controle em ponto de auditoria, e desta forma apresentar solues pertinentes a fraqueza encontrada nos sistemas de Informao, para aprimorar a sua segurana.

Ferramentas * Ferramentas Generalistas * As ferramentas de auditoria so poderosos aliados para os processos de auditoria de sistemas de informao; de forma generalista temos os softwares que podem processar, simular, analisar amostras, gerar dados estatsticos, sumarizar, apontar duplicidades e outras funes que o auditor desejar. Podemos citar: * IDEA (Interactive Data Extraction & Analisys) Software para extrao e analise de dados; * Galileo Software integrado de gesto de auditoria; * Pentana Software de planejamento estratgico de auditoria; * Ferramentas Especializadas

* So softwares desenvolvidos especialmente para executarem certas tarefas numa circunstncia definida.

Programas utilitrios * So denominados quebra-galhos na ausncia de outros recursos, com a funo de executar tarefas muito comuns, de ordenar um arquivo, concatenar textos, sumarizar, gerar relatrios. Vale ressaltar que estas ferramentas no especficas para auditorias, necessitando do auxilio do usurio e do analista do sistema.

* * * * * * * * Consideraes Finais * Concluses * Nos primrdios na humanidade, mesmo antes de conhecer a palavra ou o conceito de segurana, o homem de alguma forma j o implementava em sua vida, seja subindo em cavernas nas montanhas para se proteger dos animais predadores, ou construindo fortalezas para proteo de outros povos que vinham em buscas de suas riquezas. Segurana sempre foi um problema primordial para a humanidade. Hoje, nos tempos modernos, com o avano do uso da tecnologia da informao, principalmente dentro das organizaes, este tem sido um tema constante. Diante desta problemtica, muitas ferramentas computacionais tm sido criadas para garantir que no haja invases e roubos de dados dos sistemas de informao das organizaes.

Porm, tem sido uma luta implacvel, pois a cada nova ferramenta implementada outras tcnicas de invaso so criadas. Tornando-se uma luta incessante. Desta forma, a segurana dos ativos, passa a ser um problema de todos dentro de uma organizao, e a preocupao com um plano de segurana deixa de ser um problema s do campo do pessoal de TI, sendo de questo estratgica da organizao, j que os dados so a riqueza principal de uma organizao, e proteg-los passa a ser uma questo de todas as esferas organizacionais. Enfim, alm de proteger necessrio que o sistema de segurana de informao seja auditvel e tolerante a falhas, e desta forma seja capaz de deixar trilhas para identificar a invaso e o invasor, e possa se recuperar para voltar ao funcionamento no menor tempo necessrio.

* Proposta de Projetos Futuros * * Para projetos futuros seria interessante dissertar sobre: Minerao de dados; Analise e * Implementao de um banco de dados para um sistema ainda a definir. * * *

* REFERNCIAS BIBLIOGRFICAS * ALVES, Cssio Bastos. Segurana da informao vs. Engenharia Social: Como se proteger para no ser mais uma vtima. Disponvel em: <http://monografias.brasilescola.com/computacao/seguranca-informacao-v. ht>. Acesso em: 14 maio 2011.

CENTRO UNIVERSITRIO GERALDO DI BIASE. Auditoria e Anlise de Segurana da Informao. Disponvel em: <http://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_auditoria_e_ analise_de_seguranca_aula_02.pdf>. Acessado em: 14 maio 2011.

COIMBRA, Rodrigo. Engenharia Social: porque no h um patch para a estupidez humana. Disponvel em:<http://projetoseti.com.br/seguranca/engenharia-social-porque-nao-ha-patchpara-a-estupidez-humana/f>. Acessado em: 14 maio 2011.

FREITAS, Gustavo. Como instalar e configurar o avira. Disponvel em: <http://www.concursosetecnologia.com.br/como-instalar-o-avira/>. Acesso em: 01 fev. 2011.

KELLY, Brain. Two things I wish they'd change about endpoints in SQL Server 2005. Disponvel em: <http://://www.sqlservercentral.com/blogs/brian_kelley/archive/2006/05. aspxm.blogspot.com/2010_06_01_archive.html>. Acesso em: 01 fev. 2011.

LAILA. TI: Segaurna da Infamoro. Disponvel em: <http://bigbloggeradm.blogspot.com/2010_06_01_archive.html>. Acesso em: 01 fev. 2011.

LYRA, Maurcio Rocha. Segurana e Auditoria em Sistema de Informao. So Paulo: Cincia Moderna, 2008.

PEIXOTO, Mrio C. P. Engenharia Social e Segurana da Informao na Gesto Corporativa. Rio de Janeiro: Brasport, 2006.

PINHEIRO, Felipe. Firewall e Proxy. Disponvel em: <http://www.zoomdigital.com.br/firewall-eproxy/>. Acesso em: 28 maio 2011.

POPPER, Marcos Antnio; BRIGNOLI, Juliano Tonizetti. Engenharia Social: um perigo eminente. Disponvel em:< http://fabricio.unis.edu.br/SI/Eng_Social.pdf>. Data de acesso: 14 maio 2011.

ROSEMANN, Douglas. Software para avaliao da segurana da informao de uma empresa conforme a norma NBR ISO/IEC 17799. 2002. 102 f. Dissertao (Bacharelado) - Curso de Cincias Da Computao, Departamento de Centro De Cincias Exatas e Naturais, Universidade Regional De Blumenau, Blumenau, 2002.

ROCHA, Paulo Cesar Cardoso. Segurana da Informao Uma questo no apenas tecnolgica. 2008. 61 f. Dissertao (ps-graduao) - Curso de Especializao em Gesto da

Segurana da Informao e Comunicaes, Departamento de Cincia da Computao, Universidade de Braslia, Braslia, 2008.

SANTOS, Joo. Modelo completo backup. Disponvel em: <http://diretorioup.blogspot.com/2011/02/baixar-modelo-completo-backup-no.html>. Acesso em: 01 fev. 2011.

SILVA, Pedro Tavares et al. Segurana dos Sistemas de informao: Gesto Estratgica da Segurana Empresarial. Lisboa: Centro Atlntico, 2003. 256 p.

SONIC NET. Virtual Private Networking (VPN) Service. Disponvel em: <http://sonic.net/features/vpn/>. Acesso em: 01 fev. 2011.

TRIBUNAL DE CONTAS DA UNIO. Boas prticas em segurana da informao. Braslia: TCU, 2007. 70p.

TECHNET, Microsoft. Curso Bsico de Segurana da Informao, Microsoft, 2007.

TI SAFE. Mecanismos para controle de aceso. Disponvel em: <http://www.tisafe.com/download/apresentacoes/controle-deacesso/PAL_Mecanismos_Controle_Acesso_TISafe.pdf>. Data de acesso: 14 maio 2011.

TUXEN, Alexandre Marin; CORREIA, Jean Cleber; SOUZA, Jos; NAHUM, Tiago Bueno. Gesto/Planejamento Corporativo de Segurana da Informao. Disponvel em: <http://www.infosegura.eti.br/artigos/SGSI.pdf/>. Acesso em: 10 abr. 2011.

* * *

ANEXO I TTULO DO ANEXO

APNDICE A - FICHA DE AVALIAO DE PROJETOS SEMESTRAIS

ORIENTADOR | | Aluno1: Aluno2: Aluno3: | | |

| GRUPO

| Apresentado em

| ____/____/20__

| Curso: | Curso: | Curso: | |

| | | |

| Perodo: | Perodo: | Perodo: | |

| | | |

| | |

TTULO DO PROJETO

CRITRIOS DE AVALIAO 1. Trabalho escrito (7,0)

| Professor Avaliador | |

1.1. O projeto apresenta redao clara, estruturada e adequada ao idioma?| (1,0) | | 1.2. O resumo apresenta o tema, os objetivos, a metodologia e as concluses? | | | (0,5)

1.3. A introduo define e delimita o tema, alm de indicar as questes que o trabalho pretende responder? | (0,5) | | 1.4. Os objetivos gerais so claros e compatveis com o objeto de estudo/tema proposto? | (0,5) | | 1.5. Os objetivos especficos foram atingidos? So um detalhamento do geral, relevantes e esto bem justificados? | (1,0) | | 1.6. O desenvolvimento evidencia a relao entre a fundamentao terica, o objeto de pesquisa e a anlise elaborada (contribuio autoral)? | (1,5) | | 1.7. A concluso coerente com os objetivos e est baseada no desenvolvimento do trabalho? | (1,0) | | 1.8. Todas as citaes esto devidamente referenciadas? As figuras e tabelas esto referenciadas no texto?| (0,5) | | 1.9. As referncias bibliogrficas so pertinentes? | (0,5) | NOTA 1 | | | Aluno1 | Aluno2 | Aluno3 | |

2. Apresentao oral (3,0)

1. 2. |

3.1. A apresentao representa uma sntese do trabalho impresso? | (0,5) | | | | (1,0) | | | | | | (1,0) | | |

3.2. Demonstrou domnio do assunto tratado? 3.3. Seguiu o tempo estabelecido? | (0,5) |

3.4. A apresentao foi estruturada e apresentada de forma didtica? | | | NOTA 2 | | | | | | |

NOTA FINAL (NOTA1+NOTA2) |

FAVOR ANEXAR ESTE DOCUMENTO A ATA OFICIAL DE NOTA.

Maca, _____ de __________________ de 20___.