IMPLANTAO DE UM SISTEMA DE GESTO DE SEGURANA DA INFORMAO NA UFG Jnison Calixto dos Santos1, Hugo A. D.

do Nascimento2, Centro de Recursos Computacionais (CERCOMP) Universidade Federal de Gois (UFG) janison@cpd.ufg.br, hadn@inf.ufg.br

Resumo
Este artigo trata da implantao de um Sistema de Gesto de Segurana da Informao na Universidade Federal de Gois. So mostradas as principais atividades de um Grupo de Segurana, desde sua criao at os procedimentos realizados no seu dia-a-dia para garantir a segurana dos recursos de TI da organizao. Tambm so mostradas as dificuldades, as exigncias, ferramentas e procedimentos que so seguidos na hora de implantar um sistema de gesto de segurana. Seu principal objetivo descrever os processos e procedimentos de segurana da informao em implantao na UFG.

1. INTRODUO Segurana da Informao um assunto do qual

constantemente ouve-se falar e que a cada dia se torna mais importante nas organizaes. O nmero crescente de roubos de dados e ataques infra-estrutura de TI tem tornado este um tema de grande importncia requerendo tecnologia. A vasta quantidade de ferramentas e manuais disponveis na Internet permite a qualquer pessoa, sem conhecimentos avanados de computao, realizar ataques cibernticos a diferentes alvos conectados rede. Tais ataques permitem ao invasor ter acesso, adulterar ou destruir
1 Analista de Tecnologia da Informao Administrador de Redes. Bacharel em Cincia da Computao UFG/2006. Cursando Especializao em Redes e Segurana de Sistemas - UFG. 2 Professor do Instituto de Informtica da UFG e atualmente diretor do Centro de Recursos Computacionais dessa instituio.

ateno

por

parte

de

todos

aqueles

envolvidos

com

informaes importantes de pessoas e organizaes, alm de possibilitar obter ganhos financeiros. Como a rede mundial de computadores uma estrutura amplamente utilizada e novas tecnologias de conexo surgem a todo instante, torna-se necessrio que as organizaes definam processos para regular o uso de sua infra-estrutura de TI, a fim de proteger seus ativos. Neste contexto, o presente artigo descreve as aes que vm sendo realizadas pela Universidade Federal de Gois na rea de Segurana da Informao. 2. CONCEITO DE SISTEMA DE GESTO DE SEGURANA DA INFORMAO Um Sistema de Gesto de Segurana da Informao

(SGSI) [1] um conjunto de processos e procedimentos, baseado em normas e na legislao, que uma organizao implementa para prover segurana no uso de seus ativos tecnolgicos. Tal sistema deve ser seguido por todos aqueles que se relacionam direta ou indiretamente com a infra-estrutura de TI da organizao, tais como: funcionrios, prestadores de servio, parceiros e terceirizados. O SGSI deve possuir obrigatoriamente o aval da direo e do departamento jurdico da organizao para conferir sua legitimidade. A implantao de um SGSI envolve primeiramente a anlise de riscos na infra-estrutura de TI. Esta anlise permite identificar os pontos vulnerveis e as falhas nos sistemas, que devero ser corrigidos. Alm disso, no SGSI, so definidos processos para detectar e responder a incidentes de segurana [2] e procedimentos para auditorias. Um assunto bastante relevante no SGSI a implementao de um programa de treinamento e conscientizao dos usurios nas questes relativas Segurana da Informao. Isto se deve ao fato do usurio ser um ponto fraco para os casos de invaso de sistemas devido falta de conhecimento das principais tcnicas utilizadas pelos invasores. Prova disso o sucesso dos ataques de spam [3], onde o usurio recebe

um e-mail que o induz a executar um programa ou a acessar um site que coleta informaes e as envia para algum invasor. No SGSI, tambm importante a definio de uma Poltica de Segurana. Essa poltica consiste de um documento que formaliza os procedimentos para segurana da informao e que devem ser de conhecimento de todos. Em tal documento so definidas regras, responsabilidades e penalidades para os casos de violao das regras, alm de conter um termo de responsabilidades onde o funcionrio confirma seu conhecimento a respeito das normas ali estabelecidas. 3. SEGURANA DA INFORMAO NA UFG Apenas recentemente a Universidade Federal de Gois, atravs do seu Centro de Recursos Computacionais (CERCOMP), comeou revisar e formalizar procedimentos relativos a Segurana da Informao. J existia a preocupao na Universidade com o problema de segurana, no entanto, nada era formalizado e as regras estavam apenas na cabea do administrador da rede. A primeira ao da UFG, nesse sentido, foi ento criar em 2006 um grupo de segurana, formado inicialmente por administradores de redes, para analisar e propor solues para problemas de segurana de redes. As principais atividades realizadas por esse grupo so descritas a seguir:

Estudo

escolha

de

ferramentas

para

anlise

de

vulnerabilidades a documentao final deste estudo ainda est em fase de elaborao, para ser concluda em dezembro de 2008.

Anlise de vulnerabilidades, propriamente dita, utilizando a ferramenta Nessus [4] foram feitas varreduras regulares de portas de conexo das diversas sub-redes internas da UFG. Os problemas encontrados eram informados para os administradores locais dessas redes, para providncia.

Estudo, configurao e uso da ferramenta NTOP [5] para

monitoramento de todo o trfego interno da UFG. Tal ferramenta permite fcil visualizao do trfego das redes internas, apresentando grficos e dados estatsticos sobre diferentes tipos de protocolos de comunicao.

Palestras de divulgao de conceitos de segurana de informao para a comunidade universitria [7]. Foram realizadas palestras para dois perfis de usurios: (a) usurios comuns, leigos em Computao, e (b) profissionais da rea de Computao. Com base na experincia adquirida com essas atividades, o

CERCOMP-UFG iniciou em junho de 2007 um novo conjunto de aes na rea de Segurana da Informao. Entre elas, destacam-se:

Composio de uma equipe de profissionais com formao variada para constituir o novo Grupo de Segurana e Auditoria. Esse grupo tratar no apenas de questes de segurana da rede, mas tambm, de aspectos de segurana e auditoria de sistemas de software na UFG. Atender, alm disso, a incidentes de segurana. Elaborao da proposta inicial da Poltica de Segurana de Informao da UFG, de acordo com a norma ABNT NBR ISO/IEC 17799. Os termos desta poltica esto sendo discutidos com os responsveis pelas reas de redes, suporte e desenvolvimento. Aps sua definio, a proposta ser encaminhada para homologao pelo departamento jurdico e pelo conselho universitrio. A concluso da elaborao da proposta est prevista para agosto de 2008. Reviso e re-execuo dos procedimentos de anlise de vulnerabilidades, aplicados s redes internas da UFG. Pretende-se utilizar o kit de ferramentas BackTrack [6] para anlise de vulnerabilidades e testes de invaso, a fim de descobrir potenciais pontos de falha e corrig-los. Por fim, treinamentos constantes da equipe de segurana de

redes, atravs de cursos ministrados pela Escola Superior de Redes da RNP [8] e pelo Instituto de Informtica da UFG, a fim de obter maior qualificao para tratar o assunto. 4. DIFICULDADES DA IMPLANTAO A resistncia comum da maioria dos usurios a qualquer mudana no seu processo normal de trabalho tem sido o principal empecilho implantao de polticas de segurana na UFG. Como exemplo, nas palestras de conscientizao ministradas pelo grupo de segurana de Redes foi visvel a resistncia de alguns profissionais quando se propunha condutas como polticas de alterao constante de senhas, uso de softwares alternativos que oferecem maior nvel de segurana, maior preocupao no descarte de documentos, uso de software anti-vrus e adoo de polticas restritivas de acesso para instalao de programas em computadores desktop. Alm disso, a falta de pessoal dedicado ao estudo e implantao do SGSI algo que tem tornado o processo demorado. O Grupo de Segurana formado na UFG no est exclusivamente voltado para a definio do sistema de gesto, tendo outras atividades a ser realizadas, o que acarreta na demora na definio e na aplicao dos procedimentos de segurana descritos acima. A implantao de um Sistema de Gesto de Segurana da Informao difcil de ser realizada e leva tempo para sua concretizao. Ela exige apoio da direo da organizao, dedicao e constante qualificao dos profissionais envolvidos. 5. CONCLUSO Embora no tenha uma Poltica de Segurana finalizada e formalmente definida, o Grupo de Segurana da Informao da UFG tem construdo uma base de conhecimento sobre Segurana da Informao e vem realizando monitoramentos e anlises de vulnerabilidades extensivas

da rede interna da Universidade. A proposta da Poltica de Segurana tambm se encontra em elaborao e conta com o apoio da administrao superior da UFG. Ainda existem questes que devem ser rapidamente resolvidas, como a definio de processos para tratamento de incidentes, procedimentos para auditoria do cdigo dos sistemas desenvolvidos pela Universidade e procedimentos para auditoria completa de vulnerabilidades fsicas e lgicas, quando solicitada pelas unidades acadmicas e rgos administrativos. Tais questes sero trabalhadas no presente ano.

REFERNCIAS [1] Norma ABNT NBR ISO/IEC 17799. [2] CAIS - Centro de Atendimento a Incidentes de Segurana http://www.rnp.br/cais/, acessado em 31 de maro de 2008 [3] Cartilha de Segurana para Internet - http://cartilha.cert.br/, acessado em 31 de maro de 2008. [4] Ferramenta 2008. [5] Ferramenta NTOP - http://www.ntop.org/, acessado em 31 de maro de 2008. [6] BackTrack http://www.remote-exploit.org/backtrack.html, acessado em 31 de maro de 2008. [7] Slides das palestras do grupo de segurana de redes do CERCOMP-UFG. Portal do CERCOMP - www.cercomp.ufg.br, acessado em 31 de maro de 2008. [8] Escola Superior de Redes da RNP - http://www.esr.rnp.br/, acessado em 31 de maro de 2008. Nessus Network Vulnerability Scanner http://www.nessus.org/nessus/, acessado em 31 de maro de